nicht angemeldet
Apache 1.3.24 released
Hallo Leute,
wenn Stefan Einspender schon The Bat ankündigt:
Apache 1.3.24 Major changes
Security vulnerabilities
The main security vulnerabilities addressed in 1.3.24 are:
# Fix the security vulnerability noted in CAN-2002-0061 (mitre.org)
# regarding the escaping of command line args on Win32.
# Prevent invalid client hostnames from appearing in the log file.
New features
The main new features in 1.3.24 (compared to 1.3.23) are:
# Various mod_proxy improvements, such as the new ProxyIOBufferSize
# directive
# The new IgnoreCase keyword to the IndexOptions directive.
New features that relate to specific platforms:
# Added the module mod_log_nw to handle log rotation under NetWare
Bugs fixed
The following bugs were found in Apache 1.3.23 and have been fixed in
Apache 1.3.24:
# mod_rewrite's rnd was broken and has been fixed.
# The -S option of apxs was not able to handle quotes; also apxs is
# now rebuilt when options are changed.
# proxy now correctly handles Cookies and X-Cache headers.
The following bugs relate to specific platforms:
# Fixed a problem in TPF when we were using the wrong subpool when
# opening the error log.
# pthread accept() mutexes on Solaris were broken (since we were not
# linking against pthread)
Vielleicht benutzt ja der eine oder andere hier Apache ... ;-)
Viele Grüße
Michael
-
rehallo,
Security vulnerabilities
The main security vulnerabilities addressed in 1.3.24 are:
# Fix the security vulnerability noted in CAN-2002-0061 (mitre.org)
# regarding the escaping of command line args on Win32.bis dahin gefällt mir das sehr.
# Prevent invalid client hostnames from appearing in the log file.
oh. Was hat man davon ?
The main new features in 1.3.24 (compared to 1.3.23) are:
# Various mod_proxy improvements, such as the new ProxyIOBufferSize
# directive
# The new IgnoreCase keyword to the IndexOptions directive.das muß man ausprobieren.
The following bugs were found in Apache 1.3.23 and have been fixed in # Apache 1.3.24:
# mod_rewrite's rnd was broken and has been fixed.
gut und war zu erwarten.
# The -S option of apxs was not able to handle quotes; also apxs is
# now rebuilt when options are changed.hat mich nie imteressiert.
# proxy now correctly handles Cookies and X-Cache headers.
ach ja ? hoffentlich tuts das tatsächlich - je nun, einen X-Cache gibts auf Windows-Plattformen wohl nicht, aber Cookies gibts da.
Was mich wundert, ist, daß es mit den 1.3.X-Versionen noch so lange weitergeht. Warum eigentlich, wenn man doch weiß, daß die 2er-Version bereits auf sehr gutem Weg ist (Ich habe 2.0.28 auf meinem FreeBSD laufen, und das macht da alles, was ich bisher verlangt habe).
Grüße aus Berlin
Christoph S.
PS: natürlich hab ich den "neuen" schon seit drei Stunden ;-)
-
Hi Christoph,
# proxy now correctly handles Cookies and X-Cache headers.
ach ja ? hoffentlich tuts das tatsächlich - je
nun, einen X-Cache gibts auf Windows-Plattformen
wohl nicht, aber Cookies gibts da.Ich habe bisher schon mod_proxy verwendet, um einen Micro$oft IIS 4.0 in meinen URL space einzublenden (und seine Seiten mit mod_gzip zu komprimieren ...), und der arbeitet mit Cookies - mir ist dabei nie ein Problem aufgefallen. Wie auch immer - schaden kann's nichts.
Was mich wundert, ist, daß es mit den 1.3.X-
Versionen noch so lange weitergeht.
Warum eigentlich, wenn man doch weiß, daß die 2er-
Version bereits auf sehr gutem Weg istDas kommt mir so ähnlich vor wie Netscape 4.7 - security fixes macht man halt rein, wenn jemand die Lücke gemeldet hat.
Erstaunt bin ich eher, daß mod_proxy seit ein paar Versionen plötzlich wieder ans Laufen kommt. Da sah es zwischendurch mal nicht so gut aus - es scheint wohl eine Weile lang nicht klar gewesen zu sein, ob Apache 2.0 überhaupt noch einen Proxy enthalten soll.
Aber anscheinend hat sich da jemand gefunden, der versucht, das Ding aufzuräumen - mir soll's recht sein.(Ich habe 2.0.28 auf meinem FreeBSD laufen, und das
macht da alles, was ich bisher verlangt habe).Aha - interessant zu hören.
Ich werde die erste offizielle 2.0 ohne griechischen Buchstaben nehmen - etwas anderes möchte ich unserer Produktionsabteilung nicht zumuten.
Viele Grüße
MichaelPS: natürlich hab ich den "neuen" schon seit drei
Stunden ;-)... und ich gerade ein Handbuch über das Installationsverfahren unserer Customized Apaches geschrieben - die 1.3.24 läuft hier im 'Labor' auch schon, parallel zur 1.3.22, nur auf einem anderen Port. (Die 1.3.23. habe ich explizit wegen des Solaris-Fehlers mal links liegen lassen - ansonsten schaue ich mir jede Apache-Version an, schadet ja nix.)
-
Hi,
Ich habe 2.0.28 auf meinem FreeBSD laufen, und das macht da alles, was ich bisher verlangt habe
Grüße aus Berlin
Christoph S.
PS: natürlich hab ich den "neuen" schon seit drei Stunden ;-)
da scheint es aber, als würdest du kein PHP brauchen. Und der neue aus der 1.3er serie hat noch kein dazugehöriges mod_ssl. Ein apache ohne OpenSSL und PHP support ist für mich kein richtiger apache, da heisst es also noch ein bisschen warten...
rob.
-
hi,
da scheint es aber, als würdest du kein PHP brauchen.
Stimmt. Hatte ich bisher (noch) nicht berücksichtigt, werde das nachher gleich mal probieren. Der Vorteil bei "meiner" Maschine zuhause ist, daß die zwar in meinem kleinen LAN hängt, aber sonst keinerlei Aufgaben - insbesondere Serverbetrieb - zu erfüllen hat, bei denen andere Rechner / Benutzer "abhängig" werden. Ich kann also erstmal richtig rumspielen, und wenn ich mir die Partitionstabelle zerschieße (kommt schonmal vor) dann ärgert das nur mich selber und neimand anderen. Und bei FreeBSD bin ich eh noch in der "Kennenlern"-Phase, da kams mir erstmal mehr aufs System selbst an.
Und der neue aus der 1.3er serie hat noch kein dazugehöriges mod_ssl. Ein apache ohne OpenSSL und PHP support ist für mich kein richtiger apache, da heisst es also noch ein bisschen warten...
Sicher. Aber einen Blick auf den "neuen" kann man schon mal wagen, schließlich macht das, was die Apachen-Häuptlinge so von sich geben, neugierig. Und auf einer Maschine, die (wie meine zuhause) keine Verpflichtungen gegenüber anderen Leuten hat, darf man schon mal.
Grüße
Christoph S.
rob.
-
-
-
Hi,
danke fuer den Hinweis...
Vielleicht benutzt ja der eine oder andere hier Apache ... ;-)
Leider sind die beschriebenen Bugfixes und Upgrades nicht
so wild....Ein Update kann für mich also noch ne Weile warten.(Natürlich würde ich anders sprechen, würde ich meinen Apache auf
einem Ex-Floppysystem betreiben :) )Ciao,
Wolfgang-
hallo Wolfgang ;-)
Leider sind die beschriebenen Bugfixes und Upgrades nicht
so wild....Ein Update kann für mich also noch ne Weile warten.das sehe ich "eigentlich" auch so.
(Natürlich würde ich anders sprechen, würde ich meinen Apache auf
einem Ex-Floppysystem betreiben :) )ähm ... was ist daran so natürlich und darf ich ('tschuldigung) unter einem Ex-Floppy-System etwas vermuten, was ursprünglich mal _ausschließlich_ von einer Diskette aus gestartet werden sollen sollte ( "werden sollen sollte" ist korrekt)
Ich habe natürlich gelesen:
If you will install Apache on Windows XP, be warned. There is a known bug our users have identified; you may or may not encounter it yourself. It is mitigated but possibly not eliminated with the Apache 1.3.24 release. The effects of this bug within Apache 2.0 Beta are not yet observed.It appears the combination of duplicating file handles between and parent and child process, in conjunction with blocking sends to the http client, may result in corrupted output. You may not see this in MSIE, which tends to throw any error in the 'Cannot find server or DNS Error' category, rather than display the corruption. You will only see this corruption over slower links, testing the local loopback generally reveals no corruption. This is a potential security risk, since the random, corrupt data served may come from anywhere, such as the cache of buffered file pages, and these may include sensitive contents.
If you receive such errors on Windows XP using SSI scripting or PHP scripts, but not static pages, you are probably a victim of this bug. It has been reported to Microsoft, we understand they are preparing a hotfix for afd.sys that addresses this bug. MSKB article Q317949 has been reserved for this issue, you should be able to obtain this hotfix citing this [yet unpublished] Knowledge Base article.
aha, man muß also dem Inhalt eines "yet unpublished" Artikels vertrauen
Grüße aus Berlin
Christoph S.
-
Hi
Leider sind die beschriebenen Bugfixes und Upgrades nicht
so wild....Ein Update kann für mich also noch ne Weile warten.
das sehe ich "eigentlich" auch so.(Natürlich würde ich anders sprechen, würde ich meinen Apache auf
einem Ex-Floppysystem betreiben :) )
ähm ... was ist daran so natürlich und darf ich ('tschuldigung) unterDas "Natürlich" bezieht sich auf die Tatsache, dass man,
wenn man einen Webserver auf Windows betreibt, gezwungen ist,
mindestens alle 2 Tage irgendwelche Patches oder Upgrades einzuspielen.»» einem Ex-Floppy-System etwas vermuten, was ursprünglich mal _ausschließlich_ von einer Diskette aus gestartet werden sollen sollte ( "werden sollen sollte" ist korrekt)
Win - Disc Operating System :)
Ciao,
Wolfgang
-
-
-
Hi nochmal,
# Fix the security vulnerability noted in CAN-2002-0061 (mitre.org)
# regarding the escaping of command line args on Win32.machen wir mal schnell noch den link rein:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0061
"Apache for Win32 before 1.3.24, and 2.0.x before
# 2.0.34-beta, allows remote attackers to execute
arbitrary commands via shell metacharacters
(a | pipe character) provided as arguments to batch
(.bat) or .cmd scripts, which are sent unfiltered
to the shell interpreter, typically cmd.exe."
Viele Grüße
Michael