Apache1.3.22主要改進及修正
更新時間:2008年03月15日 18:45:27 作者:
Apache 1.3.21將永遠不會發(fā)布了; 本文包括在1.3.21和1.3.22中累積下來的改進。
這個版本的Apache主要修正了一個可能用目錄列表代替缺省主頁而導(dǎo)致的安全漏洞問題。
Apache 1.3.20 - 1.3.22主要改進:
安全弱點:
1。在Apache1.3.20的win32平臺上發(fā)現(xiàn)了一個漏洞。如果客戶端發(fā)送一個非常長的URI可能導(dǎo)致用目錄列表來代替缺省主頁。403 Forbidden將被返回。CAN-2001-0729
2。在split-logfile支持程序中發(fā)現(xiàn)了一個漏洞。用特別的Host:頭標發(fā)送的請求可能會允許系統(tǒng)中任一個以.log擴展名結(jié)尾的文件被寫入。PR#7848 CAN-2001-0730
3。發(fā)現(xiàn)一個在Multiviews用于目錄索引協(xié)商時的漏洞。在一些配置中,如果一個URI請求帶著M=D的QUERY_STRING,那么可能返回一個目錄列表而不是預(yù)期中的索引頁。CAN-2001-0731
新的特性:
1.3.22主要的新特性(相比1.3.20):
1。用戶手冊更新了,同很多小的修正一樣這次更新包括了法語和日語的譯文,一個在Cygwin上使用Apache的指南,和一個使用日志文件的全面指南。
2。用戶手冊可以被移出htdocs(DocumentRoot)-可在安裝時的configure時調(diào)用--manualdir=選項來指定。允許在線文檔從常規(guī)內(nèi)容中分離。
3。支持的圖標允許以PNG格式發(fā)布。
4。對Apache評測程序做了重大的檢查。ab被代替了,(第一個報告在四月),新的Apache評測包括修正,附加統(tǒng)計,CSV和gnuplot輸出以及SSL支持。
5。mod_usertrack模塊中加入了新的指令,首先,CookieDomain,可被用于自定義Domain屬性,加入CookieDomain指令的補丁最初提交已超過兩年了。mod_usertrack使用很舊的Netscape cookie語法,新的CookieStyle指令允許使用RFC2109或RFC2965來替代它。PR#5023, PR#5920, PR#6140.
6。如果在配置文件中發(fā)現(xiàn)了行末注釋(#),服務(wù)器將顯示一個警告。不是所有的指令都能在相同行處理注釋。
7。一個新指令,AcceptMutex,允許使用的互斥類型在運行時的配置接受串行序列化,當(dāng)前編譯時只在1.3中設(shè)置,即然不同的互斥類型在不同平臺上有不同的性能特征,這條指令將使管理員們調(diào)整他們的Apache更容易,當(dāng)前可能的方法列表是:uslock, pthread, sysvsem, fcntl, flock, os2sem, tpfcore, none.不是所有的平臺都支持所有的方法。
8。mod_auth被增強了,將允許對一個文檔的存取控制基于文件屬主驗證。Require file-owner將只允許驗證的用戶名同文檔屬主匹配時才可以存取,Require file-group以類似的方式工作來檢查組的匹配。
相對特定平臺的新特性:
1。一個新指令,AcceptFilter,增加到在運行時來控制BSD的接受過濾。這使得在不同的BSD機器之間移動二進制包更容易而不需重編譯。支持接受過濾首先加在1.3.14版本中,這個功能可以推遲一個子進程處理一個新的連接的需求直到一個HTTP請求到達,因此可以增加一個給定數(shù)目的子進程可以處理的連接數(shù)。
2。在Win32平臺上mod_unique_id, mod_mime_magic, 和mod_vhost_alias模塊可用了。
3。在Win32平臺上允許server運行在Cygwin下的代碼中有一定數(shù)目的修正和更新,對Cygwin的支持首先加在1.3.20版本中。
4。在Windows NT或2000下,服務(wù)顯示的名稱可以由用戶修改(用服務(wù)控制面板applet).
5。在Win32下增加了一個新選項-W;來起動一個依靠性服務(wù)。
6。在TPF操作系統(tǒng)中將從最近的改進中得到利益。包括增強的系統(tǒng)派生和執(zhí)行,更新了允許非堵塞的文件描述符和shutdown進程的更新。
修正的bugs:
下面的bug是在1.3.20中找到并已在1.3.22中修正的:
1。在某些情況下一個子進程可能會因為mod_include模塊中的一個bug而銷毀,如果服務(wù)器用ErrorDocument來代替404 (request not found)錯誤來指到一個服務(wù)器端解析的HTML文件,而它包含了這樣的片段,那么一個包含%2f的請求將導(dǎo)致一個段錯誤。這個段錯誤是無害的也不會導(dǎo)致安全問題,但是它可能是被最近的IIS蠕蟲觸發(fā)的。
2。Multiviews功能被修正了以防止mod_negotiation模塊提供的multiview變量中包含未知的文件擴展名。PR#8130
3。Apache將在已安裝版本中綁定Expat庫,這修正了在裝載Expat的多個拷貝時引起的沖突。(特別是使用mod_perl和XML::Parsers::Expat時)
4。UnsetEnv指令現(xiàn)在可以工作在配置文件的主體中。PR#8254
5。當(dāng)做為反向代理時,被其它模塊(如mod_usertrack或mod_securid)設(shè)置的頭標可以通過后端服務(wù)器。PR#6055
6。服務(wù)器端的響應(yīng)頭標現(xiàn)在可以通過代理被記錄。 PR#7461
7。mod_proxy模塊現(xiàn)在注意了指定請求的HTTP頭標將不被緩存。PR#5668
8。當(dāng)一個客戶端通過mod_proxy發(fā)送的一個請求意外中止,mod_proxy模塊將不會關(guān)閉它的連接。PR#8090
9。CacheForceCompletion指令被修正了。PR#7383 , PR#8067 , PR#6585
10。mod_mime_magic模塊中的內(nèi)存瀉漏被修正了。
11。Satisfy All選項已加到缺省容器中來停掉.htaccess文件。如果沒有這條指令,這些文件仍然可以被得到如果他們在Satisfy Any指令的作用域中。
下面是相對于特定平臺的Bug修正:
1。在NetWare中加入了很多修正,包括:允許在htpasswd中htdigest使用長文件名,限制相對惡意的模塊,更好的處理非常規(guī)shutdowns,處理在SSI中的受限堆??臻g和正確識別類似proxy:http://的特別文件名。
2。在Solaris上可能發(fā)生shutdown掛起,當(dāng)使用了大量管道TransferLogs和至少一個管道ErrorLog。
3。在EBCDIC平臺上代理模塊停止SSL代理工作時的一個bug.
4.在Win32上,mod_unique_id模塊因為線程而不保證一個唯一ID的bug.
5.Win32上的Makefiles現(xiàn)在和Microsoft Visual C++編譯器(版本5,6,7)做到100%兼容了。
安全弱點:
1。在Apache1.3.20的win32平臺上發(fā)現(xiàn)了一個漏洞。如果客戶端發(fā)送一個非常長的URI可能導(dǎo)致用目錄列表來代替缺省主頁。403 Forbidden將被返回。CAN-2001-0729
2。在split-logfile支持程序中發(fā)現(xiàn)了一個漏洞。用特別的Host:頭標發(fā)送的請求可能會允許系統(tǒng)中任一個以.log擴展名結(jié)尾的文件被寫入。PR#7848 CAN-2001-0730
3。發(fā)現(xiàn)一個在Multiviews用于目錄索引協(xié)商時的漏洞。在一些配置中,如果一個URI請求帶著M=D的QUERY_STRING,那么可能返回一個目錄列表而不是預(yù)期中的索引頁。CAN-2001-0731
新的特性:
1.3.22主要的新特性(相比1.3.20):
1。用戶手冊更新了,同很多小的修正一樣這次更新包括了法語和日語的譯文,一個在Cygwin上使用Apache的指南,和一個使用日志文件的全面指南。
2。用戶手冊可以被移出htdocs(DocumentRoot)-可在安裝時的configure時調(diào)用--manualdir=選項來指定。允許在線文檔從常規(guī)內(nèi)容中分離。
3。支持的圖標允許以PNG格式發(fā)布。
4。對Apache評測程序做了重大的檢查。ab被代替了,(第一個報告在四月),新的Apache評測包括修正,附加統(tǒng)計,CSV和gnuplot輸出以及SSL支持。
5。mod_usertrack模塊中加入了新的指令,首先,CookieDomain,可被用于自定義Domain屬性,加入CookieDomain指令的補丁最初提交已超過兩年了。mod_usertrack使用很舊的Netscape cookie語法,新的CookieStyle指令允許使用RFC2109或RFC2965來替代它。PR#5023, PR#5920, PR#6140.
6。如果在配置文件中發(fā)現(xiàn)了行末注釋(#),服務(wù)器將顯示一個警告。不是所有的指令都能在相同行處理注釋。
7。一個新指令,AcceptMutex,允許使用的互斥類型在運行時的配置接受串行序列化,當(dāng)前編譯時只在1.3中設(shè)置,即然不同的互斥類型在不同平臺上有不同的性能特征,這條指令將使管理員們調(diào)整他們的Apache更容易,當(dāng)前可能的方法列表是:uslock, pthread, sysvsem, fcntl, flock, os2sem, tpfcore, none.不是所有的平臺都支持所有的方法。
8。mod_auth被增強了,將允許對一個文檔的存取控制基于文件屬主驗證。Require file-owner將只允許驗證的用戶名同文檔屬主匹配時才可以存取,Require file-group以類似的方式工作來檢查組的匹配。
相對特定平臺的新特性:
1。一個新指令,AcceptFilter,增加到在運行時來控制BSD的接受過濾。這使得在不同的BSD機器之間移動二進制包更容易而不需重編譯。支持接受過濾首先加在1.3.14版本中,這個功能可以推遲一個子進程處理一個新的連接的需求直到一個HTTP請求到達,因此可以增加一個給定數(shù)目的子進程可以處理的連接數(shù)。
2。在Win32平臺上mod_unique_id, mod_mime_magic, 和mod_vhost_alias模塊可用了。
3。在Win32平臺上允許server運行在Cygwin下的代碼中有一定數(shù)目的修正和更新,對Cygwin的支持首先加在1.3.20版本中。
4。在Windows NT或2000下,服務(wù)顯示的名稱可以由用戶修改(用服務(wù)控制面板applet).
5。在Win32下增加了一個新選項-W;來起動一個依靠性服務(wù)。
6。在TPF操作系統(tǒng)中將從最近的改進中得到利益。包括增強的系統(tǒng)派生和執(zhí)行,更新了允許非堵塞的文件描述符和shutdown進程的更新。
修正的bugs:
下面的bug是在1.3.20中找到并已在1.3.22中修正的:
1。在某些情況下一個子進程可能會因為mod_include模塊中的一個bug而銷毀,如果服務(wù)器用ErrorDocument來代替404 (request not found)錯誤來指到一個服務(wù)器端解析的HTML文件,而它包含了這樣的片段,那么一個包含%2f的請求將導(dǎo)致一個段錯誤。這個段錯誤是無害的也不會導(dǎo)致安全問題,但是它可能是被最近的IIS蠕蟲觸發(fā)的。
2。Multiviews功能被修正了以防止mod_negotiation模塊提供的multiview變量中包含未知的文件擴展名。PR#8130
3。Apache將在已安裝版本中綁定Expat庫,這修正了在裝載Expat的多個拷貝時引起的沖突。(特別是使用mod_perl和XML::Parsers::Expat時)
4。UnsetEnv指令現(xiàn)在可以工作在配置文件的主體中。PR#8254
5。當(dāng)做為反向代理時,被其它模塊(如mod_usertrack或mod_securid)設(shè)置的頭標可以通過后端服務(wù)器。PR#6055
6。服務(wù)器端的響應(yīng)頭標現(xiàn)在可以通過代理被記錄。 PR#7461
7。mod_proxy模塊現(xiàn)在注意了指定請求的HTTP頭標將不被緩存。PR#5668
8。當(dāng)一個客戶端通過mod_proxy發(fā)送的一個請求意外中止,mod_proxy模塊將不會關(guān)閉它的連接。PR#8090
9。CacheForceCompletion指令被修正了。PR#7383 , PR#8067 , PR#6585
10。mod_mime_magic模塊中的內(nèi)存瀉漏被修正了。
11。Satisfy All選項已加到缺省容器中來停掉.htaccess文件。如果沒有這條指令,這些文件仍然可以被得到如果他們在Satisfy Any指令的作用域中。
下面是相對于特定平臺的Bug修正:
1。在NetWare中加入了很多修正,包括:允許在htpasswd中htdigest使用長文件名,限制相對惡意的模塊,更好的處理非常規(guī)shutdowns,處理在SSI中的受限堆??臻g和正確識別類似proxy:http://的特別文件名。
2。在Solaris上可能發(fā)生shutdown掛起,當(dāng)使用了大量管道TransferLogs和至少一個管道ErrorLog。
3。在EBCDIC平臺上代理模塊停止SSL代理工作時的一個bug.
4.在Win32上,mod_unique_id模塊因為線程而不保證一個唯一ID的bug.
5.Win32上的Makefiles現(xiàn)在和Microsoft Visual C++編譯器(版本5,6,7)做到100%兼容了。
相關(guān)文章
目前比較流行的ASP木馬主要通過三種技術(shù)來進行對服務(wù)器的相關(guān)操作
目前比較流行的ASP木馬主要通過三種技術(shù)來進行對服務(wù)器的相關(guān)操作...2007-06-06