Apache 1.3.20 - 1.3.22主要改進(jìn)： 
安全弱點(diǎn)： 
1。在Apache1.3.20的win32平臺(tái)上發(fā)現(xiàn)了一個(gè)漏洞。如果客戶端發(fā)送一個(gè)非常長的URI可能導(dǎo)致用目錄列表來代替缺省主頁。403 Forbidden將被返回。CAN-2001-0729 
2。在split-logfile支持程序中發(fā)現(xiàn)了一個(gè)漏洞。用特別的Host:頭標(biāo)發(fā)送的請(qǐng)求可能會(huì)允許系統(tǒng)中任一個(gè)以.log擴(kuò)展名結(jié)尾的文件被寫入。PR#7848 CAN-2001-0730 
3。發(fā)現(xiàn)一個(gè)在Multiviews用于目錄索引協(xié)商時(shí)的漏洞。在一些配置中,如果一個(gè)URI請(qǐng)求帶著M=D的QUERY_STRING，那么可能返回一個(gè)目錄列表而不是預(yù)期中的索引頁。CAN-2001-0731 
新的特性： 
1.3.22主要的新特性(相比1.3.20): 
1。用戶手冊(cè)更新了，同很多小的修正一樣這次更新包括了法語和日語的譯文,一個(gè)在Cygwin上使用Apache的指南，和一個(gè)使用日志文件的全面指南。 
2。用戶手冊(cè)可以被移出htdocs（DocumentRoot）-可在安裝時(shí)的configure時(shí)調(diào)用--manualdir=選項(xiàng)來指定。允許在線文檔從常規(guī)內(nèi)容中分離。 
3。支持的圖標(biāo)允許以PNG格式發(fā)布。 
4。對(duì)Apache評(píng)測程序做了重大的檢查。ab被代替了，(第一個(gè)報(bào)告在四月），新的Apache評(píng)測包括修正，附加統(tǒng)計(jì)，CSV和gnuplot輸出以及SSL支持。 
5。mod_usertrack模塊中加入了新的指令，首先，CookieDomain,可被用于自定義Domain屬性，加入CookieDomain指令的補(bǔ)丁最初提交已超過兩年了。mod_usertrack使用很舊的Netscape cookie語法，新的CookieStyle指令允許使用RFC2109或RFC2965來替代它。PR#5023, PR#5920, PR#6140. 
6。如果在配置文件中發(fā)現(xiàn)了行末注釋(#)，服務(wù)器將顯示一個(gè)警告。不是所有的指令都能在相同行處理注釋。 
7。一個(gè)新指令，AcceptMutex,允許使用的互斥類型在運(yùn)行時(shí)的配置接受串行序列化，當(dāng)前編譯時(shí)只在1.3中設(shè)置，即然不同的互斥類型在不同平臺(tái)上有不同的性能特征，這條指令將使管理員們調(diào)整他們的Apache更容易，當(dāng)前可能的方法列表是：uslock, pthread, sysvsem, fcntl, flock, os2sem, tpfcore, none.不是所有的平臺(tái)都支持所有的方法。 
8。mod_auth被增強(qiáng)了，將允許對(duì)一個(gè)文檔的存取控制基于文件屬主驗(yàn)證。Require file-owner將只允許驗(yàn)證的用戶名同文檔屬主匹配時(shí)才可以存取，Require file-group以類似的方式工作來檢查組的匹配。 
相對(duì)特定平臺(tái)的新特性： 
1。一個(gè)新指令，AcceptFilter，增加到在運(yùn)行時(shí)來控制BSD的接受過濾。這使得在不同的BSD機(jī)器之間移動(dòng)二進(jìn)制包更容易而不需重編譯。支持接受過濾首先加在1.3.14版本中,這個(gè)功能可以推遲一個(gè)子進(jìn)程處理一個(gè)新的連接的需求直到一個(gè)HTTP請(qǐng)求到達(dá)，因此可以增加一個(gè)給定數(shù)目的子進(jìn)程可以處理的連接數(shù)。 
2。在Win32平臺(tái)上mod_unique_id, mod_mime_magic, 和mod_vhost_alias模塊可用了。 
3。在Win32平臺(tái)上允許server運(yùn)行在Cygwin下的代碼中有一定數(shù)目的修正和更新，對(duì)Cygwin的支持首先加在1.3.20版本中。 
4。在Windows NT或2000下，服務(wù)顯示的名稱可以由用戶修改（用服務(wù)控制面板applet). 
5。在Win32下增加了一個(gè)新選項(xiàng)-W；來起動(dòng)一個(gè)依靠性服務(wù)。 
6。在TPF操作系統(tǒng)中將從最近的改進(jìn)中得到利益。包括增強(qiáng)的系統(tǒng)派生和執(zhí)行，更新了允許非堵塞的文件描述符和shutdown進(jìn)程的更新。 
修正的bugs: 
下面的bug是在1.3.20中找到并已在1.3.22中修正的： 
1。在某些情況下一個(gè)子進(jìn)程可能會(huì)因?yàn)閙od_include模塊中的一個(gè)bug而銷毀，如果服務(wù)器用ErrorDocument來代替404 (request not found)錯(cuò)誤來指到一個(gè)服務(wù)器端解析的HTML文件，而它包含了這樣的片段，那么一個(gè)包含%2f的請(qǐng)求將導(dǎo)致一個(gè)段錯(cuò)誤。這個(gè)段錯(cuò)誤是無害的也不會(huì)導(dǎo)致安全問題，但是它可能是被最近的IIS蠕蟲觸發(fā)的。 
2。Multiviews功能被修正了以防止mod_negotiation模塊提供的multiview變量中包含未知的文件擴(kuò)展名。PR#8130 
3。Apache將在已安裝版本中綁定Expat庫，這修正了在裝載Expat的多個(gè)拷貝時(shí)引起的沖突。（特別是使用mod_perl和XML::Parsers::Expat時(shí)） 
4。UnsetEnv指令現(xiàn)在可以工作在配置文件的主體中。PR#8254 
5。當(dāng)做為反向代理時(shí)，被其它模塊（如mod_usertrack或mod_securid）設(shè)置的頭標(biāo)可以通過后端服務(wù)器。PR#6055 
6。服務(wù)器端的響應(yīng)頭標(biāo)現(xiàn)在可以通過代理被記錄。 PR#7461 
7。mod_proxy模塊現(xiàn)在注意了指定請(qǐng)求的HTTP頭標(biāo)將不被緩存。PR#5668 
8。當(dāng)一個(gè)客戶端通過mod_proxy發(fā)送的一個(gè)請(qǐng)求意外中止，mod_proxy模塊將不會(huì)關(guān)閉它的連接。PR#8090 
9。CacheForceCompletion指令被修正了。PR#7383 , PR#8067 , PR#6585 
10。mod_mime_magic模塊中的內(nèi)存瀉漏被修正了。 
11。Satisfy All選項(xiàng)已加到缺省容器中來停掉.htaccess文件。如果沒有這條指令，這些文件仍然可以被得到如果他們?cè)赟atisfy Any指令的作用域中。 
下面是相對(duì)于特定平臺(tái)的Bug修正： 
1。在NetWare中加入了很多修正，包括：允許在htpasswd中htdigest使用長文件名，限制相對(duì)惡意的模塊，更好的處理非常規(guī)shutdowns,處理在SSI中的受限堆?？臻g和正確識(shí)別類似proxy:http://的特別文件名。 
2。在Solaris上可能發(fā)生shutdown掛起，當(dāng)使用了大量管道TransferLogs和至少一個(gè)管道ErrorLog。 
3。在EBCDIC平臺(tái)上代理模塊停止SSL代理工作時(shí)的一個(gè)bug. 
4.在Win32上，mod_unique_id模塊因?yàn)榫€程而不保證一個(gè)唯一ID的bug. 
5.Win32上的Makefiles現(xiàn)在和Microsoft Visual C++編譯器（版本5,6,7)做到100%兼容了。 

最新評(píng)論