Apache HTTP Server 2.0.48 freigegeben
Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
freuen uns, das elfte �ffentliche Release des Apache HTTP Servers 2.0
bekannt zu geben. Diese Ank�ndigung f�hrt die wesentlichen �nderungen
von 2.0.48 gegen�ber 2.0.47 auf. Die Ank�ndigung ist auch in
englischer Sprache unter http://www.apache.org/dist/httpd/Announcement2.txt
verf�gbar.
Diese Version des Apache ist vornehmlich ein Bug-Fix-Update. Eine kurze
Zusammenfassung der behobenen Fehler ist am Ende des Dokuments
aufgef�hrt. Apache 2.0.48 behebt insbesondere 2 Sicherheitsl�cken.
Bei der Verwendung eines Thread-f�higen MPMs konnte eine falsche
Handhabung von CGI-Redirects in mod_cgid dazu f�hren, dass CGI-Ausgaben
an den falschen Client ausgeliefert wurden.
[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0789]
In mod_alias und mod_rewrite konnte ein Puffer�berlauf auftreten, wenn
ein regul�rer Ausdr�ck mit mehr als 9 speichernden Klammernpaaren
angewendet wurde.
[http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0542]
Dieses Release ist zu Modulen kompatibel, die f�r Apache 2.0.42 und
sp�ter kompiliert wurden. Wir betrachten dieses Release als die beste
verf�gbare Version des Apache und empfehlen allen Benutzern fr�herer
Versionen ein Upgrade.
Apache 2.0.48 steht unter
http://httpd.apache.org/download.cgi
zum Download bereit.
F�r eine vollst�ndige Liste der �nderungen lesen Sie bitte die Datei
CHANGES_2.0, welche von der obigen Seite aus verlinkt ist.
Apache 2.0 bietet zahlreiche Erweiterungen, Verbesserungen und
Performancesteigerungen gegen�ber der 1.3-Codebasis. Eine �bersicht der
seit 1.3 eingef�hrten Features finden Sie unter
http://httpd.apache.org/docs-2.0/new_features_2_0.html
Wenn Sie diese Version des Apache installieren oder auf diese Version
updaten, beachten Sie bitte folgendes:
Sollten Sie den Apache mit einem der threaded-MPMs verwenden wollen, so
m�ssen Sie sicherstellen, dass die Module (und die ben�tigten
Bibliotheken), die Sie verwenden wollen, Thread-sicher sind. Weitere
Informationen erfragen Sie bitte bei den jeweiligen Anbietern dieser
Module.
Wesentliche �nderungen des Apache 2.0.48
Seit Apache 2.0.47 geschlossene Sicherheitsl�cken
*) SECURITY [CAN-2003-0789]: mod_cgid: Korrektur falscher Handhabungen
des Sockets AF_UNIX, der zur Kommunikation mit dem cgid-Daemaon und
dem CGI-Skript verwendet wird. [Jeff Trawick]
*) SECURITY [CAN-2003-0542]: Behebung von Puffer�berl�ufen in mod_alias
und mod_rewrite, welche auftraten, falls regul�re Ausdr�cke mit mehr
als 9 speichernden Klammernpaaren angewendet wurden. [Andr� Malo]
Seit Apache 2.0.47 behobene Fehler und neue Features
*) mod_include: Korrektur eines Speicherzugriffsfehlers, der auftrat,
wenn der Dateiname nicht angegeben war, z.B. bei der Ausf�hrung
von Fehlerbedingungen.
PR 23836. [Brian Akins <[EMAIL PROTECTED]>, Andr� Malo]
*) Korrektur des Konfigurationsparsers, um <foo>...</foo>-Container
zu unterst�tzen (ohne Argumente im �ffnenten Tag), wie httpd 1.3
sie unterst�tzt. Ohne diese �nderung w�ren die <Perl>-Abschnitte
von mod_perl 2.0 ung�ltig.
["Philippe M. Chiasson" <[EMAIL PROTECTED]>]
*) mod_cgid: Korrektur einer zerst�rten Hash-Tabelle, welche dazu
f�hren konnte, dass am Ende des Request das falsche Skript
aufger�umt wurde. [Jeff Trawick]
*) Aktualisierung der httpd-*.conf-Dateien zur besseren Erl�uterung
der Beziehung von AddType und AddEncoding bei der Definition von
Dateiendungen f�r komprimierte Dateien. [Roy Fielding]
*) mod_rewrite: Kein stillschweigendes Beenden mehr, wenn das �ffnen
des RewriteLogs fehlschl�gt. PR 23416. [Andr� Malo]
*) mod_rewrite: Korrektur der Option [P] in mod_rewrite, um
umgeschriebene Anfragen unter Verwendung von "proxy:" zu senden.
Der Code hatte manipulierten URIs mehrere "proxy:"-Felder
hinzugef�gt. PR: 13946. [Eider Oliveira <[EMAIL PROTECTED]>]
*) chache_util: Korrektur von ap_check_cache_freshness um max_age,
smax_age und expires wie in der RFC 2616 definiert zu pr�fen.
[Thomas Castelle <[EMAIL PROTECTED]>]
*) Es wird nun sichergestellt, dass die ssl-std.conf w�hrend der
Quelltext-Konfiguration generiert wird und es werden jetzt die
erweiterten Konfigurationsvariablen f�r ein Verhalten wie bei
der httpd-std.conf verwendet. PR: 19611 [Thom May]
*) mod_ssl: Behebung von Speicherzugriffsfehlern nach einer
misslungenen Neuverhandlung (Renegotiation). PR 21370
[Hartmut Keil <[EMAIL PROTECTED]>]
*) mod_autoindex: Enth�lt ein Verzeichnis eine in der Direktive
DirectoryIndex enthaltene Datei, so wird das Verzeichnissymbol
nicht l�nger durch das Symbol dieser Datei ersetzt. PR 9587.
[David Shane Holden <[EMAIL PROTECTED]>]
*) Korrektur von mod_usertrack, um keine f�lschlich zutreffenden
�bereinstimmungen mit dem Namen des user-tracking-Cookies zu
erhalten. PR 16661. [Manni Wood <[EMAIL PROTECTED]>]
*) mod_cache: Korrektur des Cache-Codes, so dass Antworten
zwischengespeichert werden k�nnen, wenn sie einen Expires-Header,
aber keine Etag- oder Last-Modified-Header besitzen. PR 23130.
[EMAIL PROTECTED]
*) mod_log_config: Korrektur des Logformats %b, um tats�chlich "-"
auszugeben, wenn 0 Bytes gesendet wurden (z.B. bei den
R�ckgabecodes 304 oder 204). [Astrid Ke�ler]
*) Modifikation von ap_get_client_block(), um zu vermerken, das EOS
gefunden wurde. [Justin Erenkrantz]
*) Behebung eines Fehlers, bei dem mod_deflate manchmal
vorbehaltslos den Inhalt komprimiert hat, wenn der
Accept-Encoding-Header ausschlie�lich andere Token als "gzip"
(z.B. "deflate") enthielt. PR 21523. [Joe Orton, Andr� Malo]
*) Vermeidung einer Endlosschleife, welche auftrat, wenn der Name
einer eingebundenen Konfigurationsdatei oder eines Verzeichnisses
ein Platzhalterzeichen enthielt. PR 22194. [Andr� Malo]
*) mod_ssl: Behebung eines Problems beim Setzen von Variablen,
welche die Zertifikatskette des Clients repr�sentieren. PR 21371
[Jeff Trawick]
*) Unix: Handhabung der Berechtigungen f�r flock-basierte Mutexe in
unixd_set_global|proc_mutex_perms(). Erlaube den Aufruf der
Funktionen f�r jeden Mutex-Typ. PR 20312 [Jeff Trawick]
*) ab: Funktioniert unter Unix wieder f�r nicht-loopback.
PR 21495. [Jeff Trawick]
*) Korrektur einer irref�hrenden Meldung von einigen der MPMs mit
Thread-Unterst�tzung wenn MaxClients auf die Einstellung von
ServerLimit verringert werden muss. [Jeff Trawick]
*) Verringerung des Schweregrades der Nachricht "listener thread
didn't exit" auf debug, da diese nur f�r Entwickler von Interesse
ist. PR 9011 [Jeff Trawick]
*) MPMs: Das Bucket-Brigade-Subsystem beachtet nun die
MaxMemFree-Einstellung. [Cliff Woolley, Jean-Jacques Clar]
*) Installation von config.nice im Verzeichnis build/, um kleinere
Versionsupdates zu vereinfachen. [Joshua Slive]
*) Korrektur von mod_deflate, so dass es deflate() nicht aufruft,
ohne zuvor zu pr�fen, ob es etwas zu komprimieren gibt.
(Gegenw�rtig erzeugt mod_deflate gem�� der zlib-Spezifikation
einen schweren Fehler.) PR 22259. [Stas Bekman]
*) mod_ssl: Korrektur von FakeBasicAuth bei Unteranfragen. Melde
einen Fehler, wenn eine unsinnige Identit�t auftaucht.
[Sander Striker]
*) mod_rewrite: Ignoriere RewriteRules in .htaccess-Dateien, wenn
das Verzeichnis, welches die .htaccess-Datei enth�lt, ohne
abschlie�enden Schr�gstrich angefordert wurde. PR 20195.
[Andr� Malo]
*) ab: An der Kommandozeile angegebene �berlange
Berechtigungsnachweise sprengen nicht mehr den Puffer.
[Andr� Malo]
*) mod_deflate: Versuche nicht die gesamte Antwort bis zum
Schluss zu halten. [Justin Erenkrantz]
*) Sicherstellen, dass beim Einlesen von eingehenden Anfragedaten
�ber SSL korrekt blockiert wird. PR 19242. [David Deaves
<[EMAIL PROTECTED]>, William Rowe]
*) Aktualisierung der mime.types, um die neuesten IANA- und
W3C-Typen aufzunehmen. [Roy Fielding]
*) mod_ext_filter: Setzen zus�tzlicher Umgebungsvariablen f�r die
Verwendung in externen Filtern. PR 20944. [Andrew Ho, Jeff Trawick]
*) Korrektur von buildconf-Fehlern bei einem Wechsel der libtool-Version.
[Jeff Trawick]
*) Speichern eines authentisierten Benutzers w�hrend einer internen
Umleitung, falls das Umleitungsziel nicht zugriffsgesch�tzt ist,
und Weiterreichen des Benutzers an das Skript mittels der
Umgebungsvariable REDIRECT_REMOTE_USER. PR 10678, 11602.
[Andr� Malo]
*) mod_include: Behebung eines Fehlertrios, das bei der Analyse
verschiedener ungew�hnlicher Bytesequenzen Teile des
Ausgabe-Datenstroms verschwinden lie�. PR 21095. [Ron Park
<[EMAIL PROTECTED]>, Andr� Malo, Cliff Woolley]
*) Verbesserung des Header-Token-Parsers, um LWS zwischen dem Token
und dem Trennzeichen ':' zu erlauben. [PR 16520]
[Kris Verbeeck <[EMAIL PROTECTED]>, Nicel KM
<[EMAIL PROTECTED]>]
*) Erstellung einer tempor�ren Tabelle in ap_get_mime_headers_core()
beseitigt. [Joe Schaefer <[EMAIL PROTECTED]>]
*) FreeBSD-Verzeichnislayout hinzugef�gt. PR 21100.
[Sander Holthaus <[EMAIL PROTECTED]>, Andr� Malo]
*) Behebung von NULL-Pointer-Problemen in ab bei der Analyse von
unvollst�ndigen oder nicht-HTTP-Antworten. PR 21085.
[Glenn Nielsen <[EMAIL PROTECTED]>, Andr� Malo]
*) mod_rewrite: Durchf�hrung einer Child-Initialisierung der
Rewritelog-Sperre. Dies verhindert Besch�digungen des
Protokolls wenn flock-basierte Serialisierung verwendet wird
(z.B. bei FreeBSD). [Jeff Trawick]
*) Ignoriere einen von Modulen und CGIs gesetzten Server-Header.
Wie bei 1.3 kommt jeder derartige Header bei Proxy-Anfragen vom
Originalserver, andernfalls enth�lt er unsere mit der
ServerTokens-Direktive festgelegte Server-Information.
[Jeff Trawick]
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an [EMAIL PROTECTED]
sonstige Anfragen an [EMAIL PROTECTED]
--------------------------------------------------------------------------
