+++ /dev/null
-
- Apache HTTP Server 1.3.36 Released
-
- The Apache Software Foundation and The Apache HTTP Server Project are
- pleased to announce the release of version 1.3.36 of the Apache HTTP
- Server ("Apache"). This Announcement notes the significant change
- in 1.3.36 as compared to 1.3.35.
-
- This version of Apache is principally a bug fix release. A partial
- summary of the bug fixes is given at the end of this document.
- A full listing of changes can be found in the CHANGES file. Of
- particular note is that 1.3.36 addresses and fixes 1 major
- regression introduced in 1.3.35:
-
- o Use of wildcards in the "Include" directive now works
- again. The new feature introduced in 1.3.35 (Allow usage
- of the "Include" configuration directive within
- previously "Include"d files) has been removed in
- the meantime.
-
- We consider Apache 1.3.36 to be the best version of Apache 1.3 available
- and we strongly recommend that users of older versions, especially of
- the 1.1.x and 1.2.x family, upgrade as soon as possible. No further
- releases will be made in the 1.2.x family.
-
- Apache 1.3.36 is available for download from:
-
- http://httpd.apache.org/download.cgi
-
- This service utilizes the network of mirrors listed at:
-
- http://www.apache.org/mirrors/
-
- Please consult the CHANGES_1.3 file for a full list of changes.
-
- As of Apache 1.3.12 binary distributions contain all standard Apache
- modules as shared objects (if supported by the platform) and include
- full source code. Installation is easily done by executing the
- included install script. See the README.bindist and INSTALL.bindist
- files for a complete explanation. Please note that the binary
- distributions are only provided for your convenience and current
- distributions for specific platforms are not always available. Win32
- binary distributions are based on the Microsoft Installer (.MSI)
- technology. While development continues to make this installation method
- more robust, questions should be directed to the
- news:comp.infosystems.www.servers.ms-windows newsgroup.
-
- For an overview of new features introduced after 1.2 please see
-
- http://httpd.apache.org/docs/new_features_1_3.html
-
- In general, Apache 1.3 offers several substantial improvements over
- version 1.2, including better performance, reliability and a wider
- range of supported platforms, including Windows NT and 2000 (which
- fall under the "Win32" label), OS2, Netware, and TPF threaded
- platforms.
-
- Apache is the most popular web server in the known universe; over half
- of the servers on the Internet are running Apache or one of its
- variants.
-
- IMPORTANT NOTE FOR APACHE USERS: Apache 1.3 was designed for Unix OS
- variants. While the ports to non-Unix platforms (such as Win32, Netware
- or OS2) are of an acceptable quality, Apache 1.3 is not optimized for
- these platforms. Security, stability, or performance issues on these
- non-Unix ports do not generally apply to the Unix version, due to
- software's Unix origin.
-
- Apache 2.0/2.2 has been structured for multiple operating systems from its
- inception, by introducing the Apache Portability Library and MPM modules.
- Users on Unix and non-Unix platforms are strongly encouraged to move up to
- Apache 2.0/2.2 for better performance, stability and security on their
- platforms. We consider Apache 2.0.58 and 2.2.2 to be the best available
- versions at the time of this release. We offer Apache 1.3.36 as the best
- legacy version of Apache 1.3 available, and strongly recommend that users
- who require compatibility with existing Apache 1.3 installations should
- upgrade as soon as possible. Users should first consider upgrading to
- the current release of Apache 2 instead.
-
- Apache 1.3.36 Major changes
-
- Security vulnerabilities
-
- * None
-
- New features
-
- New features that relate to specific platforms:
-
- * None
-
- New features that relate to all platforms:
-
- * None
-
- Bugs fixed
-
- The following noteworthy bug(s) were found in Apache 1.3.35 (or earlier)
- and have been fixed in Apache 1.3.36:
-
- * Reverted SVN rev #396294 due to unwanted regression.
- The new feature introduced in 1.3.35 (Allow usage of the
- "Include" configuration directive within previously "Include"d
- files) has been removed in the meantime.
- (http://svn.apache.org/viewcvs?rev=396294&view=rev)
+++ /dev/null
-
- Apache HTTP Server 1.3.33 freigegeben
-
- Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
- freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers
- ("Apache") bekannt zu geben. Diese Ankündigung führt die wesentlichen
- Änderungen von 1.3.33 gegenüber 1.3.31 (1.3.32 wurde nicht offiziell
- freigegeben) auf. Die Ankündigung ist auch in englischer Sprache sowie
- japanischer Übersetzung unter
-
- http://www.apache.org/dist/httpd/Announcement.txt
- http://www.apache.org/dist/httpd/Announcement.txt.ja
-
- verfügbar.
-
- Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits-
- Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes
- aufgeführt. Die vollständige Liste der Änderungen ist in der CHANGES-
- Datei zu finden. Apache 1.3.33 behebt insbesondere 2 mögliche
- Sicherheitslücken:
-
- o CAN-2004-0940 (cve.mitre.org)
- Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
- SSI-Befehl.
-
- o CAN-2004-0492 (cve.mitre.org)
- Abweisen von Antworten eines entfernten Servers, wenn ein
- ungültiger (negativer) Content-Length-Header gesendet wurde.
-
- Wir betrachten den Apache 1.3.33 als die beste verfügbare Version des
- Apache 1.3 und wir empfehlen Benutzern älterer Versionen, insbesondere
- der Familien 1.1.x und 1.2.x, umgehend die Aufrüstung. Für die 1.2.x-
- Familie werden keine weiteren Releases mehr erstellt.
-
- Apache 1.3.33 steht unter folgender Adresse zum Download bereit:
-
- http://httpd.apache.org/download.cgi
-
- Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
- Adresse aufgeführt wird:
-
- http://www.apache.org/mirrors/
-
- Eine vollständige Auflistung aller bisherigen Änderungen finden Sie in
- der Datei CHANGES_1.3.
-
- Seit Apache 1.3.12 enthalten Binärdistributionen alle Apache-Standard-
- module als Shared Objects (sofern es von der Plattform unterstützt
- wird) sowie den kompletten Quelltext. Die Installation kann auf einfache
- Weise mit dem beigefügten Installationsskript durchgeführt werden.
- Eine vollständige Erläuterung finden Sie in den Dateien README.bindist
- und INSTALL.bindist. Beachten Sie bitte, dass die Binärdistributionen
- auf freiwilliger Basis angeboten werden und aktuelle Distributionen
- nicht immer für spezielle Plattformen verfügbar sind.
- Win32-Binärdistributionen basieren auf der Microsoft-Installer-
- Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
- fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
- news:comp.infosystems.www.servers.ms-windows gerichtet werden.
-
- Eine Übersicht der seit 1.2 eingeführten neuen Features finden Sie unter
-
- http://httpd.apache.org/docs/new_features_1_3.html
-
- Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegenüber
- der Version 1.2, einschliesslich besserer Performance, Zuverlässigkeit
- und Unterstützung von mehr Plattformen, darunter Windows NT und 2000 (die
- unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit
- TPF-Thread-Unterstützung.
-
- Apache ist der am häufigsten verwendete Webserver des bekannten
- Universums. Mehr als die Hälfte aller Server im Internet laufen mit dem
- Apache oder einem seiner Derivate.
-
- WICHTIGER HINWEIS FÜR APACHE-NUTZER: Der Apache 1.3 wurde für
- Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
- Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler
- Qualität sind, ist der Apache 1.3 nicht für diese Plattformen optimiert.
- Sicherheits-, Stabilitäts- und Performanceprobleme zu diesen nicht-Unix-
- Portierungen betreffen aufgrund der Unix-Herkunft der Software im
- Allgemeinen nicht die Unix-Version.
-
- Der Apache 2.0 wurde durch die Einführung der Apache Portability Library
- und der MPM-Module von Anfang an für mehrere Betriebssysteme konstruiert.
- Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der
- besseren Performance, Stabilität und Sicherheit auf den Apache 2.0 zu
- wechseln.
-
- Wesentliche Änderungen des Apache 1.3.33
-
- Sicherheitslücken
-
- * CAN-2004-0940 (cve.mitre.org)
- Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
- SSI-Befehl.
-
- * CAN-2004-0492 (cve.mitre.org)
- Antworten eines entfernten Servers werden abgewiesen, wenn ein
- ungültiger (negativer) Content-Length-Header gesendet wurde.
-
- Neuerungen
-
- Neue Funktionen, die sich auf bestimmte Plattformen beziehen:
-
- * Win32: Verbesserte Fehlermeldung bei einem mißglückten Versuch, einen
- Piped-Log- oder Rewrite-Map-Prozess zu starten.
-
- Neue Funktionen für alle Plattformen:
-
- * Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
- Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der
- Client keinen im Host-Header übermittelt hat. Falls zur
- Kompilierung angegeben, verwendet UseCanonicalName Off die physische
- Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht
- gesetzt, werden zunächst der aktuelle Port und dann der Standardport
- für das aktuelle Schema versucht.
-
-
- Behobene Fehler
-
- Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
- früher) gefunden und im Apache 1.3.33 behoben:
-
- * mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
- korrigiert. PR 14518.
-
- * mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zufällige
- Speicherpositionen. PR 31036.
-
- * mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine
- Re-Authentisierung für jede Verbindung erforderte, wenn der
- AuthDigestRealmSeed nicht konfiguriert war. PR 30920.
-
- * Korrektur eines trivialen Fehlers in mod_log_forensic, der bei
- Kindprozessen zu Speicherzugriffsverletzungen führte, wenn bestimmte
- ungültige Anfragen an diesen geschickt wurden, während die forensische
- Protokollierung aktiviert war. PR 29313.
-
- * mod_dav, Frontpage und andere werden nicht mehr gestört. Korrektur
- eines Patches in 1.3.31, welches die Löschung des Request-Bodies bei
- Anfragen verhinderte, die für Keep-Alive vorgesehen waren, jedoch
- während der Bearbeitung abgebrochen wurden. PR 29237.
+++ /dev/null
-
- Apache HTTP Server 1.3.33 リリース
-
- The Apache Software Foundation と The Apache HTTP Server Project は
- Apache HTTP Server ("Apache") のバージョン 1.3.33 のリリースを
- 発表致します。本発表は 1.3.31 から 1.3.33 への重要な変更点を
- 記しています (1.3.32 は正式にはリリースされませんでした)。
- 本発表の英語、ドイツ語版は
-
- http://www.apache.org/dist/httpd/Announcement.txt
- http://www.apache.org/dist/httpd/Announcement.txt.de
-
- から入手できます。
-
- このバージョンの Apache は主にバグ修正とセキュリティの修正のための
- リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。
- すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、
- このリリースは二つの潜在的なセキュリティの問題を修正します:
-
- o CAN-2004-0940 (cve.mitre.org)
- SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
- バッファオーバーフローを修正。
-
- o CAN-2004-0492 (cve.mitre.org)
- 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
-
- Apache 1.3.33 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの
- ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする
- ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。
-
- Apache 1.3.33 は以下からダウンロードできます:
-
- http://httpd.apache.org/download.cgi
-
- このサービスは以下の所にリストされているネットワークを利用します:
-
- http://www.apache.org/mirrors/
-
- すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。
-
- Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば)
- 共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース
- コードも含まれています。同梱されているインストールスクリプトを
- 実行することで、簡単にインストールできます。詳しい説明は README.bindist
- と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の
- ためだけに提供されているもので、特定のプラットフォームに対する最新の
- 配布が常に存在するわけではないという点には注意しておいてください。
- Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって
- います。このインストール方法をより頑強なものにするための開発は続いて
- いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows
- ニュースグループに (英語で) してください。
-
- 1.2 より後に導入された新機能の概要は
-
- http://httpd.apache.org/docs/new_features_1_3.html
-
- を読んでください。
-
- 全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。
- これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、
- OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い
- プラットフォームへの対応を含みます。
-
- Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。
- インターネットの半数を越えるサーバが Apache かその亜種で運用されています。
-
- Apache ユーザへの重要なお知らせ: Apache 1.3 は Unix 系の OS 向けに設計
- されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への
- 移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに
- 対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、
- 安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、
- 一般には Unix 版にはあてはまりません。
-
- Apache 2.0 は Apache Portability Library と MPM モジュールを導入する
- ことにより、最初から複数のオペレーティングシステムのために設計されて
- きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、
- セキュリティのために Apache 2.0 に移行することをお薦めします。
-
- Apache 1.3.33 の主な変更
-
- セキュリティ問題
-
- * CAN-2004-0940 (cve.mitre.org)
- SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
- バッファオーバーフローを修正。
-
- * CAN-2004-0492 (cve.mitre.org)
- 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
-
- 新機能
-
- 特定のプラットフォームに対する新機能:
-
- * Win32: パイプによるログプロセスの起動やリライトマッププロセスの起動に
- 失敗したときのエラー報告の改善。
-
- すべてのプラットフォームに対する新機能
-
- * コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。
- クライアントが Host ヘッダでポートの値を提供しなかったときに
- UseCanonicalName Off でどうやってポートの値を決定するかを制御します。
- コンパイル時に定義されていれば、UseCanonicalName Off では
- 正規の名前を生成するために物理ポート番号を使います。定義されて
- いなければ、その時点での Port の値と、使われたスキームの
- デフォルトポートを順に試します。
-
- バグの修正
-
- 以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.33 で修正された
- 重要なバグです:
-
- * mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。
- PR14518。
-
- * mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。
- PR 31036。
-
- * mod_digest: 1.3.31 からの nonce 文字列の計算を修正。
- AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで
- 再認証をさせられていた。PR 30920。
-
- * Forensic ロギングが有効になっているときに、ある無効なリクエスト
- を送られると子プロセスがセグメンテーションフォールトを起こす
- 症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。
-
- * mod_dav、frontpage やその他のものを動かなくしていたのを修正。
- 1.3.31 に入った、keepalive になっていないけれど、keepalive される
- リクエストのボディを無視するという動作を妨げていたパッチを修復。
- PR 29237。
projects / thirdparty / apache / httpd.git / commitdiff
