- Apache HTTP Server 1.3.31 リリース
+ Apache HTTP Server 1.3.32 リリース
The Apache Software Foundation と The Apache HTTP Server Project は
- Apache HTTP Server ("Apache") のバージョン 1.3.31 のリリースを
- 発表致します。本発表は 1.3.29 から 1.3.31 (1.3.30 はリリースされません
- でした) への重要な変更点を記しています。本発表の英語、ドイツ語、
- スペイン語版は
+ Apache HTTP Server ("Apache") のバージョン 1.3.322 のリリースを
+ 発表致します。本発表は 1.3.31 から 1.3.32 への重要な変更点を記しています。
+ 本発表の英語、ドイツ語、スペイン語版は
http://www.apache.org/dist/httpd/Announcement.html
http://www.apache.org/dist/httpd/Announcement.html.de
このバージョンの Apache は主にバグ修正とセキュリティの修正のための
リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。
すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、
- このリリースは四つの潜在的なセキュリティの問題を修正します:
-
- o CAN-2003-0987 (cve.mitre.org)
- mod_digest で、クライアントからの応答にある nonce がサーバ自身が
- 発行したものであることを検証する。この問題は mod_auth_digest には
- 存在しない。
-
- o CAN-2003-0020 (cve.mitre.org)
- 任意のデータがエラーログに書かれる前にエスケープする。
-
- o CAN-2004-0174 (cve.mitre.org)
- リッスン中のソケットにおける資源枯渇問題を修正。
- これは、まれにしかアクセスされないリッスン中のソケットが子プロセスの
- accept mutex (排他処理機構) を保持したままにし、そのまれにしか
- アクセスされないソケットに別のコネクションが来るまで、
- 新規コネクションをブロックするというもの。この問題は Solaris, AIX,
- IRIX など、特定のプラットフォームにだけ影響する。Linux は問題無い。
-
- o CAN-2003-0993 (cve.mitre.org)
- Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。
- この問題はビッグエンディアンの 64-bit プラットフォームにしか
- 影響しない。
-
- Apache 1.3.31 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの
+ このリリースは一つの潜在的なセキュリティの問題を修正します:
+
+
+ o CAN-2004-0492 (cve.mitre.org)
+ 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
+
+ Apache 1.3.32 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの
ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする
ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。
- Apache 1.3.31 は以下からダウンロードできます:
+ Apache 1.3.32 は以下からダウンロードできます:
http://httpd.apache.org/download.cgi
きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、
セキュリティのために Apache 2.0 に移行することをお薦めします。
- Apache 1.3.31 の主な変更
+ Apache 1.3.32 の主な変更
セキュリティ問題
- * CAN-2003-0987 (cve.mitre.org)
- mod_digest で、クライアントからの応答にある nonce がサーバ自身が
- 発行したものであることを検証する。この問題は mod_auth_digest には
- 存在しない。
-
- * CAN-2003-0020 (cve.mitre.org)
- 任意のデータがエラーログに書かれる前にエスケープする。
-
- * CAN-2004-0174 (cve.mitre.org)
- リッスン中のソケットにおける資源枯渇問題を修正。
- これは、まれにしかアクセスされないリッスン中のソケットが子プロセスの
- accept mutex (排他処理機構) を保持したままにし、そのまれにしか
- アクセスされないソケットに別のコネクションが来るまで、
- 新規コネクションをブロックするというもの。
-
- * CAN-2003-0993 (cve.mitre.org)
- Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。
- この問題はビッグエンディアンの 64-bit プラットフォームにしか
- 影響しない。
+ * CAN-2004-0492 (cve.mitre.org)
+ 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
新機能
特定のプラットフォームに対する新機能:
- * Linux 2.4+: Apache が root ユーザで起動されて、CoreDumpDirectory が
- 指定されている場合は、prctl() システムコールによりコアダンプが
- 有効になる。
+ * Win32: パイプされたログの起動やリライトマッププロセスの起動に失敗したきの
+ エラー報告の改善。
すべてのプラットフォームに対する新機能
- * 子プロセスがクラッシュした後の診断情報を得るための
- mod_whatkilledus と mod_backtrace モジュール (実験的) を追加。
-
- * クラッシュ後の実行時診断コード用の致命例外フック (fatal exception hook) の
- 追加。
-
- * Forensic ログモジュールの追加 (mod_log_forensic)
-
- * LogFormat ディレクティブで '%X' を '%c' の別名として扱うように変更。
- これにより、mod_ssl を使用していてもログ収集の設定で接続ステータスを
- ログ収集できるようになる。
+ * コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。
+ クライアントが Host ヘッダでポートの値を提供しなかったときに
+ UseCanonicalName Off がポートの値を決定するかを制御します。
+ コンパイル時に定義されていれば、UseCanonicalName Off は
+ 正規の名前を生成するために物理ポート番号を使います。定義されて
+ いなければ、その時点での Port の値と、使われたスキームの
+ デフォルトポートを順に試します。
バグの修正
- 以下は Apache 1.3.29 (かそれ以前) で見つかって Apache 1.3.31 で修正された
+ 以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.32 で修正された
重要なバグです:
- * ap_custom_response() 関数によるメモリ破壊問題を修正。
- コアの per-dir config が後で、違うリクエストの違う目的のために
- 再利用されるリクエストプールデータを指していた。
+ * mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。
+ PR14518。
+
+ * mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。
+ PR 31036。
- * mod_usertrack はクッキーの名前のために Cookie2 ヘッダを
- 調べることはしなくなった。他のクッキーを上書きすることもなくなった。
+ * mod_digest: 1.3.31 からの nonce 文字列の計算を修正。
+ AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで
+ 再認証をさせられていた。PR 30920。
- * CookieName を直接指定せずに CookieTracking を使ったときに
- コアダンプするバグを修正。
+ * Forensic ロギングが有効になっているときに、ある無効なリクエスト
+ を送られると子プロセスがセグメンテーションフォールトを起こす
+ 症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。
- * UseCanonicalName off がクライアントが提供していたポート情報
- を無視していた。
+ * mod_dav、frontpage やその他のものを動かなくしていたのを修正。
+ 1.3.31 に入った、keepalive になっていないけれど、keepalive される
+ リクエストのボディを無視するという動作を妨げていたパッチを修復。
projects / thirdparty / apache / httpd.git / commitdiff
