httpd-cvs mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From wr...@apache.org
Subject cvs commit: httpd-dist Announcement2.html Announcement2.html.de Announcement2.txt Announcement2.txt.de
Date Mon, 27 Sep 2004 15:13:01 GMT
wrowe       2004/09/27 08:13:01

  Modified:    .        Announcement2.html Announcement2.html.de
                        Announcement2.txt Announcement2.txt.de
  Log:
    Prepare to release 2.0.52 - the Deutch version was a hackish pass
    through bablefish, someone please give it some natural reading flow
    (especially after long and heated debates over the proper translation
    of 'authentication'.)  I can be no help at all on the .jp flavor.
  
  Revision  Changes    Path
  1.53      +13 -40    httpd-dist/Announcement2.html
  
  Index: Announcement2.html
  ===================================================================
  RCS file: /home/cvs/httpd-dist/Announcement2.html,v
  retrieving revision 1.52
  retrieving revision 1.53
  diff -u -r1.52 -r1.53
  --- Announcement2.html	17 Sep 2004 08:10:45 -0000	1.52
  +++ Announcement2.html	27 Sep 2004 15:12:59 -0000	1.53
  @@ -14,12 +14,12 @@
   >
   <img src="../../images/apache_sub.gif" alt="">
   
  -<h1>Apache HTTP Server 2.0.51 Released</h1>
  +<h1>Apache HTTP Server 2.0.52 Released</h1>
   
   <p>The Apache Software Foundation and the  The Apache HTTP Server Project are
  -   pleased to announce the release of version 2.0.51 of the Apache HTTP
  +   pleased to announce the release of version 2.0.52 of the Apache HTTP
      Server ("Apache").  This Announcement notes the significant changes
  -   in 2.0.51 as compared to 2.0.50.</p>
  +   in 2.0.52 as compared to 2.0.51.</p>
      The Announcement is also available in German and Japanese from:</p>
   <dl>   
     <dd><a href="http://www.apache.org/dist/httpd/Announcement2.html.de"
  @@ -28,52 +28,25 @@
       >http://www.apache.org/dist/httpd/Announcement2.html.ja</a></dd>
   </dl>
   
  -
   <p>This version of Apache is principally a bug fix release.  Of
  -   particular note is that 2.0.51 addresses five security
  -   vulnerabilities:</p>
  -
  -<p>An input validation issue in IPv6 literal address parsing which
  -   can result in a negative length parameter being passed to memcpy.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786"
  -   >CAN-2004-0786</a>]</code></p>
  -
  -<p>A buffer overflow in configuration file parsing could allow a
  -   local user to gain the privileges of a httpd child if the server
  -   can be forced to parse a carefully crafted .htaccess file.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747"
  -   >CAN-2004-0747</a>]</code></p>
  -   
  -<p>A segfault in mod_ssl which can be triggered by a malicious
  -   remote server, if proxying to SSL servers has been configured.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751"
  -   >CAN-2004-0751</a>]</code></p>
  -
  -<p>A potential infinite loop in mod_ssl which could be triggered 
  -   given particular timing of a connection abort.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748"
  -   >CAN-2004-0748</a>]</code></p>
  +   particular note is that 2.0.52 addresses one new security related
  +   flaw introduced in 2.0.51:</p>
   
  -<p>A segfault in mod_dav_fs which can be remotely triggered by an
  -   indirect lock refresh request.<br>
  +<p>Fix merging of the Satisfy directive, which was applied to
  +   the surrounding context and could allow access despite configured
  +   authentication.  PR 31315.<br>
      <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809"
  -   >CAN-2004-0809</a>]</code></p>
  +   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811"
  +   >CAN-2004-0811</a>]</code></p>
   
  -<p>The Apache HTTP Server Project would like to thank Codenomicon for
  -   supplying copies of their "HTTP Test Tool" used to discover
  -   CAN-2004-0786, and to SITIC for reporting the discovery of
  -   CAN-2004-0747.</p>
  +<p>The Apache HTTP Server Project would like to thank Rici Lake for
  +   identification and a proposed fix of this flaw.</p>
   
   <p>This release is compatible with modules compiled for 2.0.42 and later
      versions.  We consider this release to be the best version of Apache
      available and encourage users of all prior versions to upgrade.</p>
      
  -<p>Apache 2.0.51 is available for download from</p>
  +<p>Apache 2.0.52 is available for download from</p>
   <dl>
     <dd><a href="http://httpd.apache.org/download.cgi?update=200409150645">http://httpd.apache.org/download.cgi</a></dd>
   </dl>
  
  
  
  1.12      +16 -41    httpd-dist/Announcement2.html.de
  
  Index: Announcement2.html.de
  ===================================================================
  RCS file: /home/cvs/httpd-dist/Announcement2.html.de,v
  retrieving revision 1.11
  retrieving revision 1.12
  diff -u -r1.11 -r1.12
  --- Announcement2.html.de	17 Sep 2004 08:10:46 -0000	1.11
  +++ Announcement2.html.de	27 Sep 2004 15:13:00 -0000	1.12
  @@ -14,12 +14,12 @@
   >
   <img src="../../images/apache_sub.gif" alt="">
   
  -<h1>Apache HTTP Server 2.0.51 freigegeben</h1>
  +<h1>Apache HTTP Server 2.0.52 freigegeben</h1>
   
  -<p>Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
  -   freuen uns, das Release der Version 2.0.51 des Apache HTTP Servers
  +<p>Wir, die Apache Software Foundation und das Apache HTTP Server Project,
  +   freuen uns, das Release der Version 2.0.52 des Apache HTTP Servers
      bekannt zu geben. Diese Ank&uuml;ndigung f&uuml;hrt die wesentlichen
  -   &Auml;nderungen von 2.0.51 gegen&uuml;ber 2.0.50 auf. Die Ank&uuml;ndigung
  +   &Auml;nderungen von 2.0.52 gegen&uuml;ber 2.0.51 auf. Die Ank&uuml;ndigung
      ist auch in englischer und japanischer Sprache verf&uuml;gbar unter:</p>
   
   <dl>
  @@ -31,51 +31,26 @@
       >http://www.apache.org/dist/httpd/Announcement2.html.ja</a></dd>
   </dl>
   
  -<p>Diese Version des Apache ist vornehmlich ein Bug-Fix-Release. Eine kurze
  -   Zusammenfassung der behobenen Fehler ist am Ende des Dokuments
  -   aufgef&uuml;hrt. Apache 2.0.51 behebt insbesondere f&uuml;nf
  -   Sicherheitsl&uuml;cken:</p>
  -
  -<p>Ein Problem bei der Eingabe&uuml;berpr&uuml;fung w&auml;hrend der
Analyse von
  -   IPv6-Adressen konnte dazu f&uuml;hren, dass memcpy ein Parameter mit negativer
  -   L&auml;nge &uuml;bergeben wurde.<br>
  +<p>Diese Version des Apache ist vornehmlich ein Bug-Fix-Release.  Von der 
  +   bestimmten Anmerkung ist, dass 2.0.52 Adressen eine neue Sicherheit 
  +   den Fehler bezogen, der in 2.0.51 eingef&uuml;hrt wurde.</p>
  +
  +<p>Regeln Sie das Mischen der Zufriedenheitsrichtlinie, die am umgebenden 
  +   Kontext angewendet wurde und Zugang trotz der zusammengebauten 
  +   Authentisierung erlauben k&ouml;nnte.<br>
      <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786"
  -   >CAN-2004-0786</a>]</code></p>
  +   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811"
  +   >CAN-2004-0811</a>]</code></p>
   
  -<p>Durch einen Puffer&uuml;berlauf beim Parsen von Konfigurationsdateien konnte
  -   ein lokaler Anwender die Rechte eines httpd-Kindprozesses erhalten, wenn der
  -   Server zur Analyse einer sorgf&auml;ltig pr&auml;parierten .htaccess-Datei
  -   gebracht werden konnte.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747"
  -   >CAN-2004-0747</a>]</code></p>
  -
  -<p>Ein b&ouml;swilliger, fremder Server konnte eine Speicherzugriffsverletzung
  -   verursachen, wenn eine Proxy-Konfiguration zu SSL-Servern existierte.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751"
  -   >CAN-2004-0751</a>]</code></p>
  -
  -<p>In mod_ssl konnte eine Endlosschleife ausgel&ouml;st werden, wenn die
  -   Verbindung zu einem bestimmten Zeitpunkt unterbrochen wurde.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748"
  -   >CAN-2004-0748</a>]</code></p>
  -
  -<p>Durch einen indirekten Lock-Refresh-Request konnte eine
  -   Speicherzugriffsverletzung in mod_dav_fs verursacht werden.<br>
  -   <code>[<a
  -   href="http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809"
  -   >CAN-2004-0809</a>]</code></p>
  -   
  +<p>Das Apache HTTP Server Project möchte Rici Lake f&uuml;r Kennzeichnung 
  +   und eine vorgeschlagene Verlegenheit dieses Fehlers danken.</p>
   
   <p>Dieses Release ist zu Modulen kompatibel, die f&uuml;r Apache 2.0.42 und
      sp&auml;ter kompiliert wurden. Wir betrachten dieses Release als die
      beste verf&uuml;gbare Version des Apache und empfehlen allen Benutzern
      fr&uuml;herer Versionen ein Upgrade.</p>
   
  -<p>Apache 2.0.51 steht unter</p>
  +<p>Apache 2.0.52 steht unter</p>
   <dl>
     <dd><a href="http://httpd.apache.org/download.cgi?update=200409150645"
       >http://httpd.apache.org/download.cgi</a></dd>
  
  
  
  1.48      +13 -31    httpd-dist/Announcement2.txt
  
  Index: Announcement2.txt
  ===================================================================
  RCS file: /home/cvs/httpd-dist/Announcement2.txt,v
  retrieving revision 1.47
  retrieving revision 1.48
  diff -u -r1.47 -r1.48
  --- Announcement2.txt	17 Sep 2004 08:10:46 -0000	1.47
  +++ Announcement2.txt	27 Sep 2004 15:13:00 -0000	1.48
  @@ -1,51 +1,33 @@
   
  -                   Apache HTTP Server 2.0.51 Released
  +                   Apache HTTP Server 2.0.52 Released
   
      The Apache Software Foundation and the  The Apache HTTP Server Project are
  -   pleased to announce the release of version 2.0.51 of the Apache HTTP
  +   pleased to announce the release of version 2.0.52 of the Apache HTTP
      Server ("Apache").  This Announcement notes the significant changes
  -   in 2.0.51 as compared to 2.0.50. The Announcement is also available in
  +   in 2.0.52 as compared to 2.0.51. The Announcement is also available in
      German and Japanese from:
   
           http://www.apache.org/dist/httpd/Announcement2.txt.de
           http://www.apache.org/dist/httpd/Announcement2.txt.ja
   
      This version of Apache is principally a bug fix release.  Of
  -   particular note is that 2.0.51 addresses five security
  -   vulnerabilities:
  +   particular note is that 2.0.52 addresses one new security related
  +   flaw introduced in 2.0.51:
   
  -     An input validation issue in IPv6 literal address parsing which
  -     can result in a negative length parameter being passed to memcpy.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786]
  -
  -     A buffer overflow in configuration file parsing could allow a
  -     local user to gain the privileges of a httpd child if the server
  -     can be forced to parse a carefully crafted .htaccess file.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747]
  -     
  -     A segfault in mod_ssl which can be triggered by a malicious
  -     remote server, if proxying to SSL servers has been configured.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751]
  -
  -     A potential infinite loop in mod_ssl which could be triggered 
  -     given particular timing of a connection abort.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748]
  -
  -     A segfault in mod_dav_fs which can be remotely triggered by an
  -     indirect lock refresh request.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809]
  - 
  -   The Apache HTTP Server Project would like to thank Codenomicon for
  -   supplying copies of their "HTTP Test Tool" used to discover
  -   CAN-2004-0786, and to SITIC for reporting the discovery of
  -   CAN-2004-0747.
  +     Fix merging of the Satisfy directive, which was applied to
  +     the surrounding context and could allow access despite configured
  +     authentication.
  +     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811]
  +
  +   The Apache HTTP Server Project would like to thank Rici Lake for
  +   identification and a proposed fix of this flaw.
   
      This release is compatible with modules compiled for 2.0.42 and
      later versions.  We consider this release to be the best version of
      Apache available and encourage users of all prior versions to
      upgrade.
   
  -   Apache HTTP Server 2.0.51 is available for download from
  +   Apache HTTP Server 2.0.52 is available for download from
   
        http://httpd.apache.org/download.cgi?update=200409150645
   
  
  
  
  1.14      +14 -28    httpd-dist/Announcement2.txt.de
  
  Index: Announcement2.txt.de
  ===================================================================
  RCS file: /home/cvs/httpd-dist/Announcement2.txt.de,v
  retrieving revision 1.13
  retrieving revision 1.14
  diff -u -r1.13 -r1.14
  --- Announcement2.txt.de	17 Sep 2004 08:10:46 -0000	1.13
  +++ Announcement2.txt.de	27 Sep 2004 15:13:00 -0000	1.14
  @@ -1,46 +1,32 @@
  -                    Apache HTTP Server 2.0.51 freigegeben
  +                    Apache HTTP Server 2.0.52 freigegeben
   
      Wir, die Apache Software Foundation und das Apache HTTP Server Projekt,
  -   freuen uns, das Release der Version 2.0.51 des Apache HTTP Servers ("Apache")
  +   freuen uns, das Release der Version 2.0.52 des Apache HTTP Servers ("Apache")
      bekannt zu geben. Diese Ankündigung führt die wesentlichen Änderungen von
  -   2.0.51 gegenüber 2.0.50 auf. Die Ankündigung ist auch in englischer und
  +   2.0.52 gegenüber 2.0.51 auf. Die Ankündigung ist auch in englischer und
      japanischer Sprache verfügbar unter>
      
        http://www.apache.org/dist/httpd/Announcement2.txt
        http://www.apache.org/dist/httpd/Announcement2.txt.ja
   
  -   Diese Version des Apache ist vornehmlich ein Bug-Fix-Release. Apache 2.0.51
  -   behebt insbesondere fünf Sicherheitslücken:
  +   Diese Version des Apache ist vornehmlich ein Bug-Fix-Release.  Von der 
  +   bestimmten Anmerkung ist, daß 2.0.52 Adressen eine neue Sicherheit 
  +   den Fehler bezogen, der in 2.0.51 eingeführt wurde.
  +
  +     Regeln Sie das Mischen der Zufriedenheitsrichtlinie, die am umgebenden 
  +     Kontext angewendet wurde und Zugang trotz der zusammengebauten 
  +     Authentisierung erlauben könnte.
  +     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0811]
   
  -     Ein Problem bei der Eingabeüberprüfung während der Analyse von
  -     IPv6-Adressen konnte dazu führen, dass memcpy ein Parameter mit negativer
  -     Länge übergeben wurde.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786]
  -
  -     Durch einen Pufferüberlauf beim Parsen von Konfigurationsdateien konnte
  -     ein lokaler Anwender die Rechte eines httpd-Kindprozesses erhalten, wenn
  -     der Server zur Analyse einer sorgfältig präparierten .htaccess-Datei
  -     gebracht werden konnte.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747]
  -
  -     Ein böswilliger, fremder Server konnte eine Speicherzugriffsverletzung
  -     verursachen, wenn eine Proxy-Konfiguration zu SSL-Servern existierte.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751]
  -
  -     In mod_ssl konnte eine Endlosschleife ausgelöst werden, wenn die
  -     Verbindung zu einem bestimmten Zeitpunkt unterbrochen wurde.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748]
  -
  -     Durch einen indirekten Lock-Refresh-Request konnte eine
  -     Speicherzugriffsverletzung in mod_dav_fs verursacht werden.
  -     [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809]
  +   Das Apache HTTP Server Project möchte Rici Lake f&uuml;r Kennzeichnung 
  +   und eine vorgeschlagene Verlegenheit dieses Fehlers danken.</p>
   
      Dieses Release ist zu Modulen kompatibel, die für Apache 2.0.42 und
      später kompiliert wurden. Wir betrachten dieses Release als die beste
      verfügbare Version des Apache und empfehlen allen Benutzern früherer
      Versionen ein Upgrade.
   
  -   Apache 2.0.51 steht unter
  +   Apache 2.0.52 steht unter
   
        http://httpd.apache.org/download.cgi?update=200409150645
   
  
  
  

Mime
View raw message