httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From Jim Jagielski <...@jaguNET.com>
Subject Apache HTTP Server 1.3.33 freigegeben
Date Thu, 28 Oct 2004 20:47:26 GMT

                    Apache HTTP Server 1.3.33 freigegeben

    Wir, die Apache Software Foundation und das Apache HTTP Server 
Projekt,
    freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers
    ("Apache") bekannt zu geben. Diese Ank¸ndigung f¸hrt die wesentlichen
    ƒnderungen von 1.3.33 gegen¸ber 1.3.31 (1.3.32 wurde nicht offiziell
    freigegeben) auf. Die Ank¸ndigung ist auch in englischer Sprache 
sowie
    japanischer ‹bersetzung unter

         http://www.apache.org/dist/httpd/Announcement.txt
         http://www.apache.org/dist/httpd/Announcement.txt.ja

    verf¸gbar.

    Diese Version des Apache ist vornehmlich ein Bug-Fix- und 
Sicherheits-
    Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des 
Dokumentes
    aufgef¸hrt. Die vollst‰ndige Liste der ƒnderungen ist in der CHANGES-
    Datei zu finden. Apache 1.3.33 behebt insbesondere 2 mˆgliche
    Sicherheitsl¸cken:

      o CAN-2004-0940 (cve.mitre.org)
        Behebung eines Puffer¸berlaufs durch maskierte Zeichen in einem
        SSI-Befehl.

      o CAN-2004-0492 (cve.mitre.org)
        Abweisen von Antworten eines entfernten Servers, wenn ein
        ung¸ltiger (negativer) Content-Length-Header gesendet wurde.

    Wir betrachten den Apache 1.3.33 als die beste verf¸gbare Version des
    Apache 1.3 und wir empfehlen Benutzern ‰lterer Versionen, 
insbesondere
    der Familien 1.1.x und 1.2.x, umgehend die Aufr¸stung. F¸r die 1.2.x-
    Familie werden keine weiteren Releases mehr erstellt.

    Apache 1.3.33 steht unter folgender Adresse zum Download bereit:

        http://httpd.apache.org/download.cgi

    Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
    Adresse aufgef¸hrt wird:

        http://www.apache.org/mirrors/

    Eine vollst‰ndige Auflistung aller bisherigen ƒnderungen finden Sie 
in
    der Datei CHANGES_1.3.

    Seit Apache 1.3.12 enthalten Bin‰rdistributionen alle 
Apache-Standard-
    module als Shared Objects (sofern es von der Plattform unterst¸tzt
    wird) sowie den kompletten Quelltext. Die Installation kann auf 
einfache
    Weise mit dem beigef¸gten Installationsskript durchgef¸hrt werden.
    Eine vollst‰ndige Erl‰uterung finden Sie in den Dateien 
README.bindist
    und INSTALL.bindist. Beachten Sie bitte, dass die Bin‰rdistributionen
    auf freiwilliger Basis angeboten werden und aktuelle Distributionen
    nicht immer f¸r spezielle Plattformen verf¸gbar sind.
    Win32-Bin‰rdistributionen basieren auf der Microsoft-Installer-
    Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
    fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
    news:comp.infosystems.www.servers.ms-windows gerichtet werden.

    Eine ‹bersicht der seit 1.2 eingef¸hrten neuen Features finden Sie 
unter

    http://httpd.apache.org/docs/new_features_1_3.html

    Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen 
gegen¸ber
    der Version 1.2, einschliesslich besserer Performance, 
Zuverl‰ssigkeit
    und Unterst¸tzung von mehr Plattformen, darunter Windows NT und 2000 
(die
    unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen 
mit
    TPF-Thread-Unterst¸tzung.

    Apache ist der am h‰ufigsten verwendete Webserver des bekannten
    Universums. Mehr als die H‰lfte aller Server im Internet laufen mit 
dem
    Apache oder einem seiner Derivate.

    WICHTIGER HINWEIS F‹R APACHE-NUTZER: Der Apache 1.3 wurde f¸r
    Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
    Plattformen (wie zum Beispiel Win32, Netware oder OS2) von 
akzeptabler
    Qualit‰t sind, ist der Apache 1.3 nicht f¸r diese Plattformen 
optimiert.
    Sicherheits-, Stabilit‰ts- und Performanceprobleme zu diesen 
nicht-Unix-
    Portierungen betreffen aufgrund der Unix-Herkunft der Software im
    Allgemeinen nicht die Unix-Version.

    Der Apache 2.0 wurde durch die Einf¸hrung der Apache Portability 
Library
    und der MPM-Module von Anfang an f¸r mehrere Betriebssysteme 
konstruiert.
    Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund 
der
    besseren Performance, Stabilit‰t und Sicherheit auf den Apache 2.0 zu
    wechseln.

                Wesentliche ƒnderungen des Apache 1.3.33

    Sicherheitsl¸cken

      * CAN-2004-0940 (cve.mitre.org)
        Behebung eines Puffer¸berlaufs durch maskierte Zeichen in einem
        SSI-Befehl.

      * CAN-2004-0492 (cve.mitre.org)
        Antworten eines entfernten Servers werden abgewiesen, wenn ein
        ung¸ltiger (negativer) Content-Length-Header gesendet wurde.

    Neuerungen

     Neue Funktionen, die sich auf bestimmte Plattformen beziehen:

      * Win32: Verbesserte Fehlermeldung bei einem miflgl¸ckten Versuch, 
einen
        Piped-Log- oder Rewrite-Map-Prozess zu starten.

     Neue Funktionen f¸r alle Plattformen:

      * Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
        Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn 
der
        Client keinen im Host-Header ¸bermittelt hat. Falls zur
        Kompilierung angegeben, verwendet UseCanonicalName Off die 
physische
        Portnummer, um den kanonischen Namen zu bilden. Wird das Flag 
nicht
        gesetzt, werden zun‰chst der aktuelle Port und dann der 
Standardport
        f¸r das aktuelle Schema versucht.


    Behobene Fehler

     Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
     fr¸her) gefunden und im Apache 1.3.33 behoben:

      * mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
        korrigiert. PR 14518.

      * mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zuf‰llige
        Speicherpositionen. PR 31036.

      * mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die 
eine
        Re-Authentisierung f¸r jede Verbindung erforderte, wenn der
        AuthDigestRealmSeed nicht konfiguriert war.  PR 30920.

      * Korrektur eines trivialen Fehlers in mod_log_forensic, der bei
        Kindprozessen zu Speicherzugriffsverletzungen f¸hrte, wenn 
bestimmte
        ung¸ltige Anfragen an diesen geschickt wurden, w‰hrend die 
forensische
        Protokollierung aktiviert war. PR 29313.

      * mod_dav, Frontpage und andere werden nicht mehr gestˆrt. 
Korrektur
        eines Patches in 1.3.31, welches die Lˆschung des Request-Bodies 
bei
        Anfragen verhinderte, die f¸r Keep-Alive vorgesehen waren, jedoch
        w‰hrend der Bearbeitung abgebrochen wurden. PR 29237.
--
=======================================================================
  Jim Jagielski   [|]   jim@jaguNET.com   [|]   http://www.jaguNET.com/
   "There 10 types of people: those who read binary and everyone else."


--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message