(37d03a93) · Commits · CYBER - Cyber Security / TS 103 523 MSP / TLMSP / TLMSP Apache Httpd

Announcement

deleted100644 → 0

+0 −105

Original line number	Diff line number	Diff line

		Apache HTTP Server 1.3.36 Released

		The Apache Software Foundation and The Apache HTTP Server Project are
		pleased to announce the release of version 1.3.36 of the Apache HTTP
		Server ("Apache"). This Announcement notes the significant change
		in 1.3.36 as compared to 1.3.35.

		This version of Apache is principally a bug fix release. A partial
		summary of the bug fixes is given at the end of this document.
		A full listing of changes can be found in the CHANGES file. Of
		particular note is that 1.3.36 addresses and fixes 1 major
		regression introduced in 1.3.35:

		o Use of wildcards in the "Include" directive now works
		again. The new feature introduced in 1.3.35 (Allow usage
		of the "Include" configuration directive within
		previously "Include"d files) has been removed in
		the meantime.

		We consider Apache 1.3.36 to be the best version of Apache 1.3 available
		and we strongly recommend that users of older versions, especially of
		the 1.1.x and 1.2.x family, upgrade as soon as possible. No further
		releases will be made in the 1.2.x family.

		Apache 1.3.36 is available for download from:

		http://httpd.apache.org/download.cgi

		This service utilizes the network of mirrors listed at:

		http://www.apache.org/mirrors/

		Please consult the CHANGES_1.3 file for a full list of changes.

		As of Apache 1.3.12 binary distributions contain all standard Apache
		modules as shared objects (if supported by the platform) and include
		full source code. Installation is easily done by executing the
		included install script. See the README.bindist and INSTALL.bindist
		files for a complete explanation. Please note that the binary
		distributions are only provided for your convenience and current
		distributions for specific platforms are not always available. Win32
		binary distributions are based on the Microsoft Installer (.MSI)
		technology. While development continues to make this installation method
		more robust, questions should be directed to the
		news:comp.infosystems.www.servers.ms-windows newsgroup.

		For an overview of new features introduced after 1.2 please see

		http://httpd.apache.org/docs/new_features_1_3.html

		In general, Apache 1.3 offers several substantial improvements over
		version 1.2, including better performance, reliability and a wider
		range of supported platforms, including Windows NT and 2000 (which
		fall under the "Win32" label), OS2, Netware, and TPF threaded
		platforms.

		Apache is the most popular web server in the known universe; over half
		of the servers on the Internet are running Apache or one of its
		variants.

		IMPORTANT NOTE FOR APACHE USERS: Apache 1.3 was designed for Unix OS
		variants. While the ports to non-Unix platforms (such as Win32, Netware
		or OS2) are of an acceptable quality, Apache 1.3 is not optimized for
		these platforms. Security, stability, or performance issues on these
		non-Unix ports do not generally apply to the Unix version, due to
		software's Unix origin.

		Apache 2.0/2.2 has been structured for multiple operating systems from its
		inception, by introducing the Apache Portability Library and MPM modules.
		Users on Unix and non-Unix platforms are strongly encouraged to move up to
		Apache 2.0/2.2 for better performance, stability and security on their
		platforms. We consider Apache 2.0.58 and 2.2.2 to be the best available
		versions at the time of this release. We offer Apache 1.3.36 as the best
		legacy version of Apache 1.3 available, and strongly recommend that users
		who require compatibility with existing Apache 1.3 installations should
		upgrade as soon as possible. Users should first consider upgrading to
		the current release of Apache 2 instead.

		Apache 1.3.36 Major changes

		Security vulnerabilities

		* None

		New features

		New features that relate to specific platforms:

		* None

		New features that relate to all platforms:

		* None

		Bugs fixed

		The following noteworthy bug(s) were found in Apache 1.3.35 (or earlier)
		and have been fixed in Apache 1.3.36:

		* Reverted SVN rev #396294 due to unwanted regression.
		The new feature introduced in 1.3.35 (Allow usage of the
		"Include" configuration directive within previously "Include"d
		files) has been removed in the meantime.
		(http://svn.apache.org/viewcvs?rev=396294&view=rev)

Announcement.de

deleted100644 → 0

+0 −141

Original line number	Diff line number	Diff line

		Apache HTTP Server 1.3.33 freigegeben

		Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
		freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers
		("Apache") bekannt zu geben. Diese Ankündigung führt die wesentlichen
		Änderungen von 1.3.33 gegenüber 1.3.31 (1.3.32 wurde nicht offiziell
		freigegeben) auf. Die Ankündigung ist auch in englischer Sprache sowie
		japanischer Übersetzung unter

		http://www.apache.org/dist/httpd/Announcement.txt
		http://www.apache.org/dist/httpd/Announcement.txt.ja

		verfügbar.

		Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits-
		Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes
		aufgeführt. Die vollständige Liste der Änderungen ist in der CHANGES-
		Datei zu finden. Apache 1.3.33 behebt insbesondere 2 mögliche
		Sicherheitslücken:

		o CAN-2004-0940 (cve.mitre.org)
		Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
		SSI-Befehl.

		o CAN-2004-0492 (cve.mitre.org)
		Abweisen von Antworten eines entfernten Servers, wenn ein
		ungültiger (negativer) Content-Length-Header gesendet wurde.

		Wir betrachten den Apache 1.3.33 als die beste verfügbare Version des
		Apache 1.3 und wir empfehlen Benutzern älterer Versionen, insbesondere
		der Familien 1.1.x und 1.2.x, umgehend die Aufrüstung. Für die 1.2.x-
		Familie werden keine weiteren Releases mehr erstellt.

		Apache 1.3.33 steht unter folgender Adresse zum Download bereit:

		http://httpd.apache.org/download.cgi

		Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
		Adresse aufgeführt wird:

		http://www.apache.org/mirrors/

		Eine vollständige Auflistung aller bisherigen Änderungen finden Sie in
		der Datei CHANGES_1.3.

		Seit Apache 1.3.12 enthalten Binärdistributionen alle Apache-Standard-
		module als Shared Objects (sofern es von der Plattform unterstützt
		wird) sowie den kompletten Quelltext. Die Installation kann auf einfache
		Weise mit dem beigefügten Installationsskript durchgeführt werden.
		Eine vollständige Erläuterung finden Sie in den Dateien README.bindist
		und INSTALL.bindist. Beachten Sie bitte, dass die Binärdistributionen
		auf freiwilliger Basis angeboten werden und aktuelle Distributionen
		nicht immer für spezielle Plattformen verfügbar sind.
		Win32-Binärdistributionen basieren auf der Microsoft-Installer-
		Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
		fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
		news:comp.infosystems.www.servers.ms-windows gerichtet werden.

		Eine Übersicht der seit 1.2 eingeführten neuen Features finden Sie unter

		http://httpd.apache.org/docs/new_features_1_3.html

		Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegenüber
		der Version 1.2, einschliesslich besserer Performance, Zuverlässigkeit
		und Unterstützung von mehr Plattformen, darunter Windows NT und 2000 (die
		unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit
		TPF-Thread-Unterstützung.

		Apache ist der am häufigsten verwendete Webserver des bekannten
		Universums. Mehr als die Hälfte aller Server im Internet laufen mit dem
		Apache oder einem seiner Derivate.

		WICHTIGER HINWEIS FÜR APACHE-NUTZER: Der Apache 1.3 wurde für
		Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
		Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler
		Qualität sind, ist der Apache 1.3 nicht für diese Plattformen optimiert.
		Sicherheits-, Stabilitäts- und Performanceprobleme zu diesen nicht-Unix-
		Portierungen betreffen aufgrund der Unix-Herkunft der Software im
		Allgemeinen nicht die Unix-Version.

		Der Apache 2.0 wurde durch die Einführung der Apache Portability Library
		und der MPM-Module von Anfang an für mehrere Betriebssysteme konstruiert.
		Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der
		besseren Performance, Stabilität und Sicherheit auf den Apache 2.0 zu
		wechseln.

		Wesentliche Änderungen des Apache 1.3.33

		Sicherheitslücken

		* CAN-2004-0940 (cve.mitre.org)
		Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
		SSI-Befehl.

		* CAN-2004-0492 (cve.mitre.org)
		Antworten eines entfernten Servers werden abgewiesen, wenn ein
		ungültiger (negativer) Content-Length-Header gesendet wurde.

		Neuerungen

		Neue Funktionen, die sich auf bestimmte Plattformen beziehen:

		* Win32: Verbesserte Fehlermeldung bei einem mißglückten Versuch, einen
		Piped-Log- oder Rewrite-Map-Prozess zu starten.

		Neue Funktionen für alle Plattformen:

		* Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
		Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der
		Client keinen im Host-Header übermittelt hat. Falls zur
		Kompilierung angegeben, verwendet UseCanonicalName Off die physische
		Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht
		gesetzt, werden zunächst der aktuelle Port und dann der Standardport
		für das aktuelle Schema versucht.


		Behobene Fehler

		Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
		früher) gefunden und im Apache 1.3.33 behoben:

		* mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
		korrigiert. PR 14518.

		* mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zufällige
		Speicherpositionen. PR 31036.

		* mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine
		Re-Authentisierung für jede Verbindung erforderte, wenn der
		AuthDigestRealmSeed nicht konfiguriert war. PR 30920.

		* Korrektur eines trivialen Fehlers in mod_log_forensic, der bei
		Kindprozessen zu Speicherzugriffsverletzungen führte, wenn bestimmte
		ungültige Anfragen an diesen geschickt wurden, während die forensische
		Protokollierung aktiviert war. PR 29313.

		* mod_dav, Frontpage und andere werden nicht mehr gestört. Korrektur
		eines Patches in 1.3.31, welches die Löschung des Request-Bodies bei
		Anfragen verhinderte, die für Keep-Alive vorgesehen waren, jedoch
		während der Bearbeitung abgebrochen wurden. PR 29237.

Announcement.ja

deleted100644 → 0

+0 −129

Original line number	Diff line number	Diff line

		Apache HTTP Server 1.3.33 リリース

		The Apache Software Foundation と The Apache HTTP Server Project は
		Apache HTTP Server ("Apache") のバージョン 1.3.33 のリリースを
		発表致します。本発表は 1.3.31 から 1.3.33 への重要な変更点を
		記しています (1.3.32 は正式にはリリースされませんでした)。
		本発表の英語、ドイツ語版は

		http://www.apache.org/dist/httpd/Announcement.txt
		http://www.apache.org/dist/httpd/Announcement.txt.de

		から入手できます。

		このバージョンの Apache は主にバグ修正とセキュリティの修正のための
		リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。
		すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、
		このリリースは二つの潜在的なセキュリティの問題を修正します:

		o CAN-2004-0940 (cve.mitre.org)
		SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
		バッファオーバーフローを修正。

		o CAN-2004-0492 (cve.mitre.org)
		遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。

		Apache 1.3.33 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの
		ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする
		ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。

		Apache 1.3.33 は以下からダウンロードできます:

		http://httpd.apache.org/download.cgi

		このサービスは以下の所にリストされているネットワークを利用します:

		http://www.apache.org/mirrors/

		すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。

		Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば)
		共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース
		コードも含まれています。同梱されているインストールスクリプトを
		実行することで、簡単にインストールできます。詳しい説明は README.bindist
		と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の
		ためだけに提供されているもので、特定のプラットフォームに対する最新の
		配布が常に存在するわけではないという点には注意しておいてください。
		Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって
		います。このインストール方法をより頑強なものにするための開発は続いて
		いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows
		ニュースグループに (英語で) してください。

		1.2 より後に導入された新機能の概要は

		http://httpd.apache.org/docs/new_features_1_3.html

		を読んでください。

		全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。
		これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、
		OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い
		プラットフォームへの対応を含みます。

		Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。
		インターネットの半数を越えるサーバが Apache かその亜種で運用されています。

		Apache ユーザへの重要なお知らせ: Apache 1.3 は Unix 系の OS 向けに設計
		されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への
		移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに
		対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、
		安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、
		一般には Unix 版にはあてはまりません。

		Apache 2.0 は Apache Portability Library と MPM モジュールを導入する
		ことにより、最初から複数のオペレーティングシステムのために設計されて
		きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、
		セキュリティのために Apache 2.0 に移行することをお薦めします。

		Apache 1.3.33 の主な変更

		セキュリティ問題

		* CAN-2004-0940 (cve.mitre.org)
		SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
		バッファオーバーフローを修正。

		* CAN-2004-0492 (cve.mitre.org)
		遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。

		新機能

		特定のプラットフォームに対する新機能:

		* Win32: パイプによるログプロセスの起動やリライトマッププロセスの起動に
		失敗したときのエラー報告の改善。

		すべてのプラットフォームに対する新機能

		* コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。
		クライアントが Host ヘッダでポートの値を提供しなかったときに
		UseCanonicalName Off でどうやってポートの値を決定するかを制御します。
		コンパイル時に定義されていれば、UseCanonicalName Off では
		正規の名前を生成するために物理ポート番号を使います。定義されて
		いなければ、その時点での Port の値と、使われたスキームの
		デフォルトポートを順に試します。

		バグの修正

		以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.33 で修正された
		重要なバグです:

		* mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。
		PR14518。

		* mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。
		PR 31036。

		* mod_digest: 1.3.31 からの nonce 文字列の計算を修正。
		AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで
		再認証をさせられていた。PR 30920。

		* Forensic ロギングが有効になっているときに、ある無効なリクエスト
		を送られると子プロセスがセグメンテーションフォールトを起こす
		症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。

		* mod_dav、frontpage やその他のものを動かなくしていたのを修正。
		1.3.31 に入った、keepalive になっていないけれど、keepalive される
		リクエストのボディを無視するという動作を妨げていたパッチを修復。
		PR 29237。

Admin message