Return-Path:
This version of Apache is principally a bug fix release. Of particular note is that 2.0.51 addresses five security 1.8 +33 -19 httpd-dist/Announcement2.html.de Index: Announcement2.html.de =================================================================== RCS file: /home/cvs/httpd-dist/Announcement2.html.de,v retrieving revision 1.7 retrieving revision 1.8 diff -u -r1.7 -r1.8 --- Announcement2.html.de 1 Jul 2004 16:55:41 -0000 1.7 +++ Announcement2.html.de 15 Sep 2004 19:21:03 -0000 1.8 @@ -14,21 +14,18 @@ > -
Wir, die Apache Software Foundation und das Apache HTTP Server Projekt, - freuen uns, das Release der Version 2.0.50 des Apache HTTP Servers + freuen uns, das Release der Version 2.0.51 des Apache HTTP Servers bekannt zu geben. Diese Ankündigung führt die wesentlichen - Änderungen von 2.0.50 gegenüber 2.0.49 auf. Die Ankündigung - ist auch in englischer und japanischer Sprache verfügbar unter:
+ Änderungen von 2.0.51 gegenüber 2.0.50 auf. Die Ankündigung + ist auch in englischer Sprache verfügbar unter:Diese Version des Apache ist vornehmlich ein Bug-Fix-Release. Eine kurze @@ -36,22 +33,39 @@ aufgeführt. Apache 2.0.50 behebt insbesondere zwei Sicherheitslücken:
- -Ein von außen auslösbares Speicherleck im
- HTTP-Header-Parser kann durch übermäßigen
- Speicherverbrauch einen Denial-of-Service-Angriff ermöglichen.
+
Ein Problem bei der Eingabeüberprüfung während der Analyse von
+ IPv6-Adressen konnte dazu führen, dass memcpy ein Parameter mit negativer
+ Länge übergeben wurde.
+ [CAN-2004-0786]
Durch einen Pufferüberlauf beim Parsen von Konfigurationsdateien konnte
+ ein lokaler Anwender die Rechte eines httpd-Kindprozesses erhalten, wenn der
+ Server zur Analyse einer sorgfältig präparierten .htaccess-Datei
+ gebracht werden konnte.
[CAN-2004-0493]
Beseitigung eines Pufferüberlaufs in mod_ssl im FakeBasicAuth-Code bei
- (vertrauenswürdigen) Client-Zeritfikaten mit einem DN-Subject von
- mehr als 6K Länge.
+
Ein böswilliger, fremder Server konnte eine Speicherzugriffsverletzung
+ verursachen, wenn eine Proxy-Konfiguration zu SSL-Servern existierte.
[CAN-2004-0488]
-
In mod_ssl konnte eine Endlosschleife ausgelöst werden, wenn die
+ Verbindung zu einem bestimmten Zeitpunkt unterbrochen wurde.
+ [CAN-2004-0748]
Durch einen indirekten Lock-Refresh-Request konnte eine
+ Speicherzugriffsverletzung in mod_dav_fs verursacht werden.
+ [CAN-2004-0809]
Dieses Release ist zu Modulen kompatibel, die für Apache 2.0.42 und später kompiliert wurden. Wir betrachten dieses Release als die 1.46 +4 -1 httpd-dist/Announcement2.txt Index: Announcement2.txt =================================================================== RCS file: /home/cvs/httpd-dist/Announcement2.txt,v retrieving revision 1.45 retrieving revision 1.46 diff -u -r1.45 -r1.46 --- Announcement2.txt 15 Sep 2004 15:19:00 -0000 1.45 +++ Announcement2.txt 15 Sep 2004 19:21:03 -0000 1.46 @@ -4,7 +4,10 @@ The Apache Software Foundation and the The Apache HTTP Server Project are pleased to announce the release of version 2.0.51 of the Apache HTTP Server ("Apache"). This Announcement notes the significant changes - in 2.0.51 as compared to 2.0.50. + in 2.0.51 as compared to 2.0.50. The Announcement is also available in + German from: + + http://www.apache.org/dist/httpd/Announcement2.txt.de This version of Apache is principally a bug fix release. Of particular note is that 2.0.51 addresses five security 1.11 +31 -19 httpd-dist/Announcement2.txt.de Index: Announcement2.txt.de =================================================================== RCS file: /home/cvs/httpd-dist/Announcement2.txt.de,v retrieving revision 1.10 retrieving revision 1.11 diff -u -r1.10 -r1.11 --- Announcement2.txt.de 1 Jul 2004 16:55:41 -0000 1.10 +++ Announcement2.txt.de 15 Sep 2004 19:21:03 -0000 1.11 @@ -1,33 +1,45 @@ - Apache HTTP Server 2.0.50 freigegeben + Apache HTTP Server 2.0.51 freigegeben Wir, die Apache Software Foundation und das Apache HTTP Server Projekt, - freuen uns, das Release der Version 2.0.50 des Apache HTTP Servers bekannt - zu geben. Diese Ank�ndigung f�hrt die wesentlichen �nderungen von 2.0.50 - gegen�ber 2.0.49 auf. Die Ank�ndigung ist auch in englischer und japanischer - Sprache verf�gbar unter: + freuen uns, das Release der Version 2.0.51 des Apache HTTP Servers ("Apache") + bekannt zu geben. Diese Ank�ndigung f�hrt die wesentlichen �nderungen von + 2.0.51 gegen�ber 2.0.50 auf. Die Ank�ndigung ist auch in englischer Sprache + verf�gbar unter> http://www.apache.org/dist/httpd/Announcement2.txt - http://www.apache.org/dist/httpd/Announcement2.txt.ja - Diese Version des Apache ist vornehmlich ein Bug-Fix-Release. Eine - Zusammenfassung der behobenen Fehler ist am Ende des Dokuments aufgef�hrt. - Apache 2.0.50 behebt insbesondere zwei Sicherheitsl�cken. - - Ein von au�en ausl�sbares Speicherleck im HTTP-Header-Parser kann durch - �berm��igen Speicherverbrauch einen Denial-of-Service-Angriff erm�glichen. - [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0493] - - Beseitigung eines Puffer�berlaufs in mod_ssl im FakeBasicAuth-Code bei - (vertrauensw�rdigen) Client-Zeritfikaten mit einem DN-Subject von - mehr als 6K L�nge. - [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0488] + Diese Version des Apache ist vornehmlich ein Bug-Fix-Release. Apache 2.0.51 + behebt insbesondere f�nf Sicherheitsl�cken: + + Ein Problem bei der Eingabe�berpr�fung w�hrend der Analyse von + IPv6-Adressen konnte dazu f�hren, dass memcpy ein Parameter mit negativer + L�nge �bergeben wurde. + [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0786] + + Durch einen Puffer�berlauf beim Parsen von Konfigurationsdateien konnte + ein lokaler Anwender die Rechte eines httpd-Kindprozesses erhalten, wenn + der Server zur Analyse einer sorgf�ltig pr�parierten .htaccess-Datei + gebracht werden konnte. + [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0747] + + Ein b�swilliger, fremder Server konnte eine Speicherzugriffsverletzung + verursachen, wenn eine Proxy-Konfiguration zu SSL-Servern existierte. + [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0751] + + In mod_ssl konnte eine Endlosschleife ausgel�st werden, wenn die + Verbindung zu einem bestimmten Zeitpunkt unterbrochen wurde. + [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0748] + + Durch einen indirekten Lock-Refresh-Request konnte eine + Speicherzugriffsverletzung in mod_dav_fs verursacht werden. + [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0809] Dieses Release ist zu Modulen kompatibel, die f�r Apache 2.0.42 und sp�ter kompiliert wurden. Wir betrachten dieses Release als die beste verf�gbare Version des Apache und empfehlen allen Benutzern fr�herer Versionen ein Upgrade. - Apache 2.0.50 steht unter + Apache 2.0.51 steht unter http://httpd.apache.org/download.cgi