-
Notifications
You must be signed in to change notification settings - Fork 3
Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
- Loading branch information
sumikawa
committed
Jul 28, 2006
1 parent
d7dc060
commit 69258b4
Showing
7 changed files
with
301 additions
and
131 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,141 @@ | ||
|
||
Apache HTTP Server 1.3.33 freigegeben | ||
|
||
Wir, die Apache Software Foundation und das Apache HTTP Server Projekt, | ||
freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers | ||
("Apache") bekannt zu geben. Diese Ank�ndigung f�hrt die wesentlichen | ||
�nderungen von 1.3.33 gegen�ber 1.3.31 (1.3.32 wurde nicht offiziell | ||
freigegeben) auf. Die Ank�ndigung ist auch in englischer Sprache sowie | ||
japanischer �bersetzung unter | ||
|
||
http://www.apache.org/dist/httpd/Announcement.txt | ||
http://www.apache.org/dist/httpd/Announcement.txt.ja | ||
|
||
verf�gbar. | ||
|
||
Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits- | ||
Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes | ||
aufgef�hrt. Die vollst�ndige Liste der �nderungen ist in der CHANGES- | ||
Datei zu finden. Apache 1.3.33 behebt insbesondere 2 m�gliche | ||
Sicherheitsl�cken: | ||
|
||
o CAN-2004-0940 (cve.mitre.org) | ||
Behebung eines Puffer�berlaufs durch maskierte Zeichen in einem | ||
SSI-Befehl. | ||
|
||
o CAN-2004-0492 (cve.mitre.org) | ||
Abweisen von Antworten eines entfernten Servers, wenn ein | ||
ung�ltiger (negativer) Content-Length-Header gesendet wurde. | ||
|
||
Wir betrachten den Apache 1.3.33 als die beste verf�gbare Version des | ||
Apache 1.3 und wir empfehlen Benutzern �lterer Versionen, insbesondere | ||
der Familien 1.1.x und 1.2.x, umgehend die Aufr�stung. F�r die 1.2.x- | ||
Familie werden keine weiteren Releases mehr erstellt. | ||
|
||
Apache 1.3.33 steht unter folgender Adresse zum Download bereit: | ||
|
||
http://httpd.apache.org/download.cgi | ||
|
||
Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender | ||
Adresse aufgef�hrt wird: | ||
|
||
http://www.apache.org/mirrors/ | ||
|
||
Eine vollst�ndige Auflistung aller bisherigen �nderungen finden Sie in | ||
der Datei CHANGES_1.3. | ||
|
||
Seit Apache 1.3.12 enthalten Bin�rdistributionen alle Apache-Standard- | ||
module als Shared Objects (sofern es von der Plattform unterst�tzt | ||
wird) sowie den kompletten Quelltext. Die Installation kann auf einfache | ||
Weise mit dem beigef�gten Installationsskript durchgef�hrt werden. | ||
Eine vollst�ndige Erl�uterung finden Sie in den Dateien README.bindist | ||
und INSTALL.bindist. Beachten Sie bitte, dass die Bin�rdistributionen | ||
auf freiwilliger Basis angeboten werden und aktuelle Distributionen | ||
nicht immer f�r spezielle Plattformen verf�gbar sind. | ||
Win32-Bin�rdistributionen basieren auf der Microsoft-Installer- | ||
Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode | ||
fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup | ||
news:comp.infosystems.www.servers.ms-windows gerichtet werden. | ||
|
||
Eine �bersicht der seit 1.2 eingef�hrten neuen Features finden Sie unter | ||
|
||
http://httpd.apache.org/docs/new_features_1_3.html | ||
|
||
Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegen�ber | ||
der Version 1.2, einschliesslich besserer Performance, Zuverl�ssigkeit | ||
und Unterst�tzung von mehr Plattformen, darunter Windows NT und 2000 (die | ||
unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit | ||
TPF-Thread-Unterst�tzung. | ||
|
||
Apache ist der am h�ufigsten verwendete Webserver des bekannten | ||
Universums. Mehr als die H�lfte aller Server im Internet laufen mit dem | ||
Apache oder einem seiner Derivate. | ||
|
||
WICHTIGER HINWEIS F�R APACHE-NUTZER: Der Apache 1.3 wurde f�r | ||
Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix- | ||
Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler | ||
Qualit�t sind, ist der Apache 1.3 nicht f�r diese Plattformen optimiert. | ||
Sicherheits-, Stabilit�ts- und Performanceprobleme zu diesen nicht-Unix- | ||
Portierungen betreffen aufgrund der Unix-Herkunft der Software im | ||
Allgemeinen nicht die Unix-Version. | ||
|
||
Der Apache 2.0 wurde durch die Einf�hrung der Apache Portability Library | ||
und der MPM-Module von Anfang an f�r mehrere Betriebssysteme konstruiert. | ||
Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der | ||
besseren Performance, Stabilit�t und Sicherheit auf den Apache 2.0 zu | ||
wechseln. | ||
|
||
Wesentliche �nderungen des Apache 1.3.33 | ||
|
||
Sicherheitsl�cken | ||
|
||
* CAN-2004-0940 (cve.mitre.org) | ||
Behebung eines Puffer�berlaufs durch maskierte Zeichen in einem | ||
SSI-Befehl. | ||
|
||
* CAN-2004-0492 (cve.mitre.org) | ||
Antworten eines entfernten Servers werden abgewiesen, wenn ein | ||
ung�ltiger (negativer) Content-Length-Header gesendet wurde. | ||
|
||
Neuerungen | ||
|
||
Neue Funktionen, die sich auf bestimmte Plattformen beziehen: | ||
|
||
* Win32: Verbesserte Fehlermeldung bei einem mi�gl�ckten Versuch, einen | ||
Piped-Log- oder Rewrite-Map-Prozess zu starten. | ||
|
||
Neue Funktionen f�r alle Plattformen: | ||
|
||
* Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT. | ||
Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der | ||
Client keinen im Host-Header �bermittelt hat. Falls zur | ||
Kompilierung angegeben, verwendet UseCanonicalName Off die physische | ||
Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht | ||
gesetzt, werden zun�chst der aktuelle Port und dann der Standardport | ||
f�r das aktuelle Schema versucht. | ||
|
||
|
||
Behobene Fehler | ||
|
||
Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder | ||
fr�her) gefunden und im Apache 1.3.33 behoben: | ||
|
||
* mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde | ||
korrigiert. PR 14518. | ||
|
||
* mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zuf�llige | ||
Speicherpositionen. PR 31036. | ||
|
||
* mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine | ||
Re-Authentisierung f�r jede Verbindung erforderte, wenn der | ||
AuthDigestRealmSeed nicht konfiguriert war. PR 30920. | ||
|
||
* Korrektur eines trivialen Fehlers in mod_log_forensic, der bei | ||
Kindprozessen zu Speicherzugriffsverletzungen f�hrte, wenn bestimmte | ||
ung�ltige Anfragen an diesen geschickt wurden, w�hrend die forensische | ||
Protokollierung aktiviert war. PR 29313. | ||
|
||
* mod_dav, Frontpage und andere werden nicht mehr gest�rt. Korrektur | ||
eines Patches in 1.3.31, welches die L�schung des Request-Bodies bei | ||
Anfragen verhinderte, die f�r Keep-Alive vorgesehen waren, jedoch | ||
w�hrend der Bearbeitung abgebrochen wurden. PR 29237. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Original file line number | Diff line number | Diff line change |
---|---|---|
@@ -0,0 +1,129 @@ | ||
|
||
Apache HTTP Server 1.3.33 リリース | ||
|
||
The Apache Software Foundation と The Apache HTTP Server Project は | ||
Apache HTTP Server ("Apache") のバージョン 1.3.33 のリリースを | ||
発表致します。本発表は 1.3.31 から 1.3.33 への重要な変更点を | ||
記しています (1.3.32 は正式にはリリースされませんでした)。 | ||
本発表の英語、ドイツ語版は | ||
|
||
http://www.apache.org/dist/httpd/Announcement.txt | ||
http://www.apache.org/dist/httpd/Announcement.txt.de | ||
|
||
から入手できます。 | ||
|
||
このバージョンの Apache は主にバグ修正とセキュリティの修正のための | ||
リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。 | ||
すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、 | ||
このリリースは二つの潜在的なセキュリティの問題を修正します: | ||
|
||
o CAN-2004-0940 (cve.mitre.org) | ||
SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる | ||
バッファオーバーフローを修正。 | ||
|
||
o CAN-2004-0492 (cve.mitre.org) | ||
遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。 | ||
|
||
Apache 1.3.33 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの | ||
ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする | ||
ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。 | ||
|
||
Apache 1.3.33 は以下からダウンロードできます: | ||
|
||
http://httpd.apache.org/download.cgi | ||
|
||
このサービスは以下の所にリストされているネットワークを利用します: | ||
|
||
http://www.apache.org/mirrors/ | ||
|
||
すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。 | ||
|
||
Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば) | ||
共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース | ||
コードも含まれています。同梱されているインストールスクリプトを | ||
実行することで、簡単にインストールできます。詳しい説明は README.bindist | ||
と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の | ||
ためだけに提供されているもので、特定のプラットフォームに対する最新の | ||
配布が常に存在するわけではないという点には注意しておいてください。 | ||
Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって | ||
います。このインストール方法をより頑強なものにするための開発は続いて | ||
いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows | ||
ニュースグループに (英語で) してください。 | ||
|
||
1.2 より後に導入された新機能の概要は | ||
|
||
http://httpd.apache.org/docs/new_features_1_3.html | ||
|
||
を読んでください。 | ||
|
||
全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。 | ||
これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、 | ||
OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い | ||
プラットフォームへの対応を含みます。 | ||
|
||
Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。 | ||
インターネットの半数を越えるサーバが Apache かその亜種で運用されています。 | ||
|
||
Apache ユーザへの重要なお知らせ: Apache 1.3 は Unix 系の OS 向けに設計 | ||
されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への | ||
移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに | ||
対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、 | ||
安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、 | ||
一般には Unix 版にはあてはまりません。 | ||
|
||
Apache 2.0 は Apache Portability Library と MPM モジュールを導入する | ||
ことにより、最初から複数のオペレーティングシステムのために設計されて | ||
きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、 | ||
セキュリティのために Apache 2.0 に移行することをお薦めします。 | ||
|
||
Apache 1.3.33 の主な変更 | ||
|
||
セキュリティ問題 | ||
|
||
* CAN-2004-0940 (cve.mitre.org) | ||
SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる | ||
バッファオーバーフローを修正。 | ||
|
||
* CAN-2004-0492 (cve.mitre.org) | ||
遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。 | ||
|
||
新機能 | ||
|
||
特定のプラットフォームに対する新機能: | ||
|
||
* Win32: パイプによるログプロセスの起動やリライトマッププロセスの起動に | ||
失敗したときのエラー報告の改善。 | ||
|
||
すべてのプラットフォームに対する新機能 | ||
|
||
* コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。 | ||
クライアントが Host ヘッダでポートの値を提供しなかったときに | ||
UseCanonicalName Off でどうやってポートの値を決定するかを制御します。 | ||
コンパイル時に定義されていれば、UseCanonicalName Off では | ||
正規の名前を生成するために物理ポート番号を使います。定義されて | ||
いなければ、その時点での Port の値と、使われたスキームの | ||
デフォルトポートを順に試します。 | ||
|
||
バグの修正 | ||
|
||
以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.33 で修正された | ||
重要なバグです: | ||
|
||
* mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。 | ||
PR14518。 | ||
|
||
* mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。 | ||
PR 31036。 | ||
|
||
* mod_digest: 1.3.31 からの nonce 文字列の計算を修正。 | ||
AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで | ||
再認証をさせられていた。PR 30920。 | ||
|
||
* Forensic ロギングが有効になっているときに、ある無効なリクエスト | ||
を送られると子プロセスがセグメンテーションフォールトを起こす | ||
症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。 | ||
|
||
* mod_dav、frontpage やその他のものを動かなくしていたのを修正。 | ||
1.3.31 に入った、keepalive になっていないけれど、keepalive される | ||
リクエストのボディを無視するという動作を妨げていたパッチを修復。 | ||
PR 29237。 |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Oops, something went wrong.