Apache 1.3.20 - 1.3.22主要改進： 
安全弱點： 
1。在Apache1.3.20的win32平臺上發(fā)現(xiàn)了一個漏洞。如果客戶端發(fā)送一個非常長的URI可能導(dǎo)致用目錄列表來代替缺省主頁。403 Forbidden將被返回。CAN-2001-0729 
2。在split-logfile支持程序中發(fā)現(xiàn)了一個漏洞。用特別的Host:頭標發(fā)送的請求可能會允許系統(tǒng)中任一個以.log擴展名結(jié)尾的文件被寫入。PR#7848 CAN-2001-0730 
3。發(fā)現(xiàn)一個在Multiviews用于目錄索引協(xié)商時的漏洞。在一些配置中,如果一個URI請求帶著M=D的QUERY_STRING，那么可能返回一個目錄列表而不是預(yù)期中的索引頁。CAN-2001-0731 
新的特性： 
1.3.22主要的新特性(相比1.3.20): 
1。用戶手冊更新了，同很多小的修正一樣這次更新包括了法語和日語的譯文,一個在Cygwin上使用Apache的指南，和一個使用日志文件的全面指南。 
2。用戶手冊可以被移出htdocs（DocumentRoot）-可在安裝時的configure時調(diào)用--manualdir=選項來指定。允許在線文檔從常規(guī)內(nèi)容中分離。 
3。支持的圖標允許以PNG格式發(fā)布。 
4。對Apache評測程序做了重大的檢查。ab被代替了，(第一個報告在四月），新的Apache評測包括修正，附加統(tǒng)計，CSV和gnuplot輸出以及SSL支持。 
5。mod_usertrack模塊中加入了新的指令，首先，CookieDomain,可被用于自定義Domain屬性，加入CookieDomain指令的補丁最初提交已超過兩年了。mod_usertrack使用很舊的Netscape cookie語法，新的CookieStyle指令允許使用RFC2109或RFC2965來替代它。PR#5023, PR#5920, PR#6140. 
6。如果在配置文件中發(fā)現(xiàn)了行末注釋(#)，服務(wù)器將顯示一個警告。不是所有的指令都能在相同行處理注釋。 
7。一個新指令，AcceptMutex,允許使用的互斥類型在運行時的配置接受串行序列化，當(dāng)前編譯時只在1.3中設(shè)置，即然不同的互斥類型在不同平臺上有不同的性能特征，這條指令將使管理員們調(diào)整他們的Apache更容易，當(dāng)前可能的方法列表是：uslock, pthread, sysvsem, fcntl, flock, os2sem, tpfcore, none.不是所有的平臺都支持所有的方法。 
8。mod_auth被增強了，將允許對一個文檔的存取控制基于文件屬主驗證。Require file-owner將只允許驗證的用戶名同文檔屬主匹配時才可以存取，Require file-group以類似的方式工作來檢查組的匹配。 
相對特定平臺的新特性： 
1。一個新指令，AcceptFilter，增加到在運行時來控制BSD的接受過濾。這使得在不同的BSD機器之間移動二進制包更容易而不需重編譯。支持接受過濾首先加在1.3.14版本中,這個功能可以推遲一個子進程處理一個新的連接的需求直到一個HTTP請求到達，因此可以增加一個給定數(shù)目的子進程可以處理的連接數(shù)。 
2。在Win32平臺上mod_unique_id, mod_mime_magic, 和mod_vhost_alias模塊可用了。 
3。在Win32平臺上允許server運行在Cygwin下的代碼中有一定數(shù)目的修正和更新，對Cygwin的支持首先加在1.3.20版本中。 
4。在Windows NT或2000下，服務(wù)顯示的名稱可以由用戶修改（用服務(wù)控制面板applet). 
5。在Win32下增加了一個新選項-W；來起動一個依靠性服務(wù)。 
6。在TPF操作系統(tǒng)中將從最近的改進中得到利益。包括增強的系統(tǒng)派生和執(zhí)行，更新了允許非堵塞的文件描述符和shutdown進程的更新。 
修正的bugs: 
下面的bug是在1.3.20中找到并已在1.3.22中修正的： 
1。在某些情況下一個子進程可能會因為mod_include模塊中的一個bug而銷毀，如果服務(wù)器用ErrorDocument來代替404 (request not found)錯誤來指到一個服務(wù)器端解析的HTML文件，而它包含了這樣的片段，那么一個包含%2f的請求將導(dǎo)致一個段錯誤。這個段錯誤是無害的也不會導(dǎo)致安全問題，但是它可能是被最近的IIS蠕蟲觸發(fā)的。 
2。Multiviews功能被修正了以防止mod_negotiation模塊提供的multiview變量中包含未知的文件擴展名。PR#8130 
3。Apache將在已安裝版本中綁定Expat庫，這修正了在裝載Expat的多個拷貝時引起的沖突。（特別是使用mod_perl和XML::Parsers::Expat時） 
4。UnsetEnv指令現(xiàn)在可以工作在配置文件的主體中。PR#8254 
5。當(dāng)做為反向代理時，被其它模塊（如mod_usertrack或mod_securid）設(shè)置的頭標可以通過后端服務(wù)器。PR#6055 
6。服務(wù)器端的響應(yīng)頭標現(xiàn)在可以通過代理被記錄。 PR#7461 
7。mod_proxy模塊現(xiàn)在注意了指定請求的HTTP頭標將不被緩存。PR#5668 
8。當(dāng)一個客戶端通過mod_proxy發(fā)送的一個請求意外中止，mod_proxy模塊將不會關(guān)閉它的連接。PR#8090 
9。CacheForceCompletion指令被修正了。PR#7383 , PR#8067 , PR#6585 
10。mod_mime_magic模塊中的內(nèi)存瀉漏被修正了。 
11。Satisfy All選項已加到缺省容器中來停掉.htaccess文件。如果沒有這條指令，這些文件仍然可以被得到如果他們在Satisfy Any指令的作用域中。 
下面是相對于特定平臺的Bug修正： 
1。在NetWare中加入了很多修正，包括：允許在htpasswd中htdigest使用長文件名，限制相對惡意的模塊，更好的處理非常規(guī)shutdowns,處理在SSI中的受限堆?？臻g和正確識別類似proxy:http://的特別文件名。 
2。在Solaris上可能發(fā)生shutdown掛起，當(dāng)使用了大量管道TransferLogs和至少一個管道ErrorLog。 
3。在EBCDIC平臺上代理模塊停止SSL代理工作時的一個bug. 
4.在Win32上，mod_unique_id模塊因為線程而不保證一個唯一ID的bug. 
5.Win32上的Makefiles現(xiàn)在和Microsoft Visual C++編譯器（版本5,6,7)做到100%兼容了。 

最新評論