Hallo Leute,

ich habe zum Thema "Zugangskontrolle" einen Bug in Apache 1.3.6 (der aktuellen Version) zu vermelden. In Apache 1.3.2 (eigene Erfahrung) und sogar 1.3.4 (laut dem Bug-Melder) soll es noch funktioniert haben.

Beim Prüfen eines Passworts muß Apache dieses ggf. verschlüsseln, falls es eine crypt()-Routine besitzt. Falls nicht, dann eben nicht - so war das Verhalten vor 1.3.6.
In 1.3.6. wurde allerdings sinngemäß eingebaut:
if (Win32)
        { error "no crypt() routine available"; }
   else { crypt(password); check_pw($password); }

Also: Apache 1.3.6. unter Win32 versteht *überhaupt keine* Passworte mehr. Vorherige Versionen verstanden immerhin unverschlüsselte Passworte.

Der Fehler ist in der Apache-Bugs-Datenbank unter http://bugs.apache.org/index/full/4287 dokumentiert; die Apache Group verspricht dort eine Behebung für die nächste Version.

Dort ist vom Melder des Bugs auch ein Patch angegeben - falls also jemand Apache unter Win32 selbst aus dem Source Code generiert, würde eine Zeile Änderung reichen ... wer wie ich nur die Binaries aus dem Web zieht, muß wohl auf 1.3.7. warten - oder eine alte Version benutzen, wenn man irgendwo eine findet (auf dem Apache-Server gibt es nur noch 1.2.6., die zu alt ist, und 1.3.6. mit dem Bug drin ...).