Sync with 1.3.36

Announcement

@@ -1,28 +1,29 @@
 
-                   Apache HTTP Server 1.3.35 Released
+                   Apache HTTP Server 1.3.36 Released
 
    The Apache Software Foundation and The Apache HTTP Server Project are
-   pleased to announce the release of version 1.3.35 of the Apache HTTP
-   Server ("Apache").  This Announcement notes the significant changes
-   in 1.3.35 as compared to 1.3.34.
+   pleased to announce the release of version 1.3.36 of the Apache HTTP
+   Server ("Apache").  This Announcement notes the significant change
+   in 1.3.36 as compared to 1.3.35.
 
-   This version of Apache is principally a bug and security fix release.
-   A partial summary of the bug fixes is given at the end of this document.
+   This version of Apache is principally a bug fix release. A partial
+   summary of the bug fixes is given at the end of this document.
    A full listing of changes can be found in the CHANGES file.  Of
-   particular note is that 1.3.35 addresses and fixes 1 potential
-   security issue:
+   particular note is that 1.3.36 addresses and fixes 1 major
+   regression introduced in 1.3.35:
 
-     o CVE-2005-3352 (cve.mitre.org)
-       mod_imap: Escape untrusted referer header before outputting in HTML
-       to avoid potential cross-site scripting.  Change also made to
-       ap_escape_html so we escape quotes.  Reported by JPCERT
+     o Use of wildcards in the "Include" directive now works
+       again. The new feature introduced in 1.3.35 (Allow usage
+       of the "Include" configuration directive within
+       previously "Include"d files) has been removed in
+       the meantime.
 
-   We consider Apache 1.3.35 to be the best version of Apache 1.3 available
+   We consider Apache 1.3.36 to be the best version of Apache 1.3 available
    and we strongly recommend that users of older versions, especially of
    the 1.1.x and 1.2.x family, upgrade as soon as possible.  No further
    releases will be made in the 1.2.x family.
 
-   Apache 1.3.35 is available for download from:
+   Apache 1.3.36 is available for download from:
 
        http://httpd.apache.org/download.cgi
 
@@ -69,21 +70,18 @@
    inception, by introducing the Apache Portability Library and MPM modules.
    Users on Unix and non-Unix platforms are strongly encouraged to move up to 
    Apache 2.0/2.2 for better performance, stability and security on their
-   platforms. We consider Apache 2.0.57 and 2.2.2 to be the best available
-   versions at the time of this release.  We offer Apache 1.3.35 as the best
+   platforms. We consider Apache 2.0.58 and 2.2.2 to be the best available
+   versions at the time of this release.  We offer Apache 1.3.36 as the best
    legacy  version of Apache 1.3 available, and strongly recommend that users
    who require compatibility with existing Apache 1.3 installations should
    upgrade as soon as possible.  Users should first consider upgrading to
    the current release of Apache 2 instead.
 
-                     Apache 1.3.35 Major changes
+                     Apache 1.3.36 Major changes
 
   Security vulnerabilities
 
-     * SECURITY: CVE-2005-3352 (cve.mitre.org)
-       mod_imap: Escape untrusted referer header before outputting in HTML
-       to avoid potential cross-site scripting.  Change also made to
-       ap_escape_html so we escape quotes.  Reported by JPCERT.
+     * None
 
   New features
 
@@ -93,15 +91,15 @@
 
    New features that relate to all platforms:
 
-     * core: Allow usage of the "Include" configuration directive within
-       previously "Include"d files. [Colm MacCarthaigh]
+     * None
 
   Bugs fixed
 
-   The following noteworthy bugs were found in Apache 1.3.34 (or earlier)
-   and have been fixed in Apache 1.3.35:
-
-     * HTML-escape the Expect error message.
+   The following noteworthy bug(s) were found in Apache 1.3.35 (or earlier)
+   and have been fixed in Apache 1.3.36:
 
-     * mod_cgi: Remove block on OPTIONS method so that scripts can
-     respond to OPTIONS directly rather than via server default.
+     * Reverted SVN rev #396294 due to unwanted regression.
+       The new feature introduced in 1.3.35 (Allow usage of the
+       "Include" configuration directive within previously "Include"d
+       files) has been removed in the meantime.
+       (http://svn.apache.org/viewcvs?rev=396294&view=rev)

Announcement.de

@@ -0,0 +1,141 @@
+
+                   Apache HTTP Server 1.3.33 freigegeben
+
+   Wir, die Apache Software Foundation und das Apache HTTP Server Projekt, 
+   freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers 
+   ("Apache") bekannt zu geben. Diese Ank�ndigung f�hrt die wesentlichen 
+   �nderungen von 1.3.33 gegen�ber 1.3.31 (1.3.32 wurde nicht offiziell
+   freigegeben) auf. Die Ank�ndigung ist auch in englischer Sprache sowie
+   japanischer �bersetzung unter
+
+        http://www.apache.org/dist/httpd/Announcement.txt
+        http://www.apache.org/dist/httpd/Announcement.txt.ja
+
+   verf�gbar.
+
+   Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits-
+   Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes
+   aufgef�hrt. Die vollst�ndige Liste der �nderungen ist in der CHANGES-
+   Datei zu finden. Apache 1.3.33 behebt insbesondere 2 m�gliche
+   Sicherheitsl�cken:
+
+     o CAN-2004-0940 (cve.mitre.org)
+       Behebung eines Puffer�berlaufs durch maskierte Zeichen in einem
+       SSI-Befehl.
+
+     o CAN-2004-0492 (cve.mitre.org)
+       Abweisen von Antworten eines entfernten Servers, wenn ein
+       ung�ltiger (negativer) Content-Length-Header gesendet wurde.
+
+   Wir betrachten den Apache 1.3.33 als die beste verf�gbare Version des
+   Apache 1.3 und wir empfehlen Benutzern �lterer Versionen, insbesondere
+   der Familien 1.1.x und 1.2.x, umgehend die Aufr�stung. F�r die 1.2.x-
+   Familie werden keine weiteren Releases mehr erstellt.
+
+   Apache 1.3.33 steht unter folgender Adresse zum Download bereit:
+
+       http://httpd.apache.org/download.cgi
+
+   Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
+   Adresse aufgef�hrt wird:
+
+       http://www.apache.org/mirrors/
+
+   Eine vollst�ndige Auflistung aller bisherigen �nderungen finden Sie in
+   der Datei CHANGES_1.3.
+
+   Seit Apache 1.3.12 enthalten Bin�rdistributionen alle Apache-Standard-
+   module als Shared Objects (sofern es von der Plattform unterst�tzt
+   wird) sowie den kompletten Quelltext. Die Installation kann auf einfache
+   Weise mit dem beigef�gten Installationsskript durchgef�hrt werden.
+   Eine vollst�ndige Erl�uterung finden Sie in den Dateien README.bindist
+   und INSTALL.bindist. Beachten Sie bitte, dass die Bin�rdistributionen
+   auf freiwilliger Basis angeboten werden und aktuelle Distributionen
+   nicht immer f�r spezielle Plattformen verf�gbar sind.
+   Win32-Bin�rdistributionen basieren auf der Microsoft-Installer-
+   Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
+   fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
+   news:comp.infosystems.www.servers.ms-windows gerichtet werden.
+
+   Eine �bersicht der seit 1.2 eingef�hrten neuen Features finden Sie unter
+
+   http://httpd.apache.org/docs/new_features_1_3.html
+
+   Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegen�ber
+   der Version 1.2, einschliesslich besserer Performance, Zuverl�ssigkeit
+   und Unterst�tzung von mehr Plattformen, darunter Windows NT und 2000 (die
+   unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit
+   TPF-Thread-Unterst�tzung.
+
+   Apache ist der am h�ufigsten verwendete Webserver des bekannten
+   Universums. Mehr als die H�lfte aller Server im Internet laufen mit dem
+   Apache oder einem seiner Derivate.
+
+   WICHTIGER HINWEIS F�R APACHE-NUTZER: Der Apache 1.3 wurde f�r
+   Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
+   Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler
+   Qualit�t sind, ist der Apache 1.3 nicht f�r diese Plattformen optimiert.
+   Sicherheits-, Stabilit�ts- und Performanceprobleme zu diesen nicht-Unix-
+   Portierungen betreffen aufgrund der Unix-Herkunft der Software im
+   Allgemeinen nicht die Unix-Version.
+
+   Der Apache 2.0 wurde durch die Einf�hrung der Apache Portability Library
+   und der MPM-Module von Anfang an f�r mehrere Betriebssysteme konstruiert.
+   Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der
+   besseren Performance, Stabilit�t und Sicherheit auf den Apache 2.0 zu
+   wechseln.
+
+               Wesentliche �nderungen des Apache 1.3.33
+
+   Sicherheitsl�cken
+
+     * CAN-2004-0940 (cve.mitre.org)
+       Behebung eines Puffer�berlaufs durch maskierte Zeichen in einem
+       SSI-Befehl.
+
+     * CAN-2004-0492 (cve.mitre.org)
+       Antworten eines entfernten Servers werden abgewiesen, wenn ein
+       ung�ltiger (negativer) Content-Length-Header gesendet wurde.
+
+   Neuerungen
+
+    Neue Funktionen, die sich auf bestimmte Plattformen beziehen:
+
+     * Win32: Verbesserte Fehlermeldung bei einem mi�gl�ckten Versuch, einen
+       Piped-Log- oder Rewrite-Map-Prozess zu starten. 
+
+    Neue Funktionen f�r alle Plattformen:
+
+     * Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
+       Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der
+       Client keinen im Host-Header �bermittelt hat. Falls zur
+       Kompilierung angegeben, verwendet UseCanonicalName Off die physische
+       Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht
+       gesetzt, werden zun�chst der aktuelle Port und dann der Standardport
+       f�r das aktuelle Schema versucht.
+
+
+   Behobene Fehler
+
+    Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
+    fr�her) gefunden und im Apache 1.3.33 behoben:
+
+     * mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
+       korrigiert. PR 14518.
+
+     * mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zuf�llige
+       Speicherpositionen. PR 31036.
+
+     * mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine
+       Re-Authentisierung f�r jede Verbindung erforderte, wenn der 
+       AuthDigestRealmSeed nicht konfiguriert war.  PR 30920.
+
+     * Korrektur eines trivialen Fehlers in mod_log_forensic, der bei 
+       Kindprozessen zu Speicherzugriffsverletzungen f�hrte, wenn bestimmte 
+       ung�ltige Anfragen an diesen geschickt wurden, w�hrend die forensische
+       Protokollierung aktiviert war. PR 29313.
+
+     * mod_dav, Frontpage und andere werden nicht mehr gest�rt. Korrektur
+       eines Patches in 1.3.31, welches die L�schung des Request-Bodies bei
+       Anfragen verhinderte, die f�r Keep-Alive vorgesehen waren, jedoch
+       w�hrend der Bearbeitung abgebrochen wurden. PR 29237.

Announcement.ja

@@ -0,0 +1,129 @@
+
+                   Apache HTTP Server 1.3.33 リリース
+
+   The Apache Software Foundation と The Apache HTTP Server Project は
+   Apache HTTP Server ("Apache") のバージョン 1.3.33 のリリースを
+   発表致します。本発表は 1.3.31 から 1.3.33 への重要な変更点を
+   記しています (1.3.32 は正式にはリリースされませんでした)。
+   本発表の英語、ドイツ語版は
+
+         http://www.apache.org/dist/httpd/Announcement.txt
+         http://www.apache.org/dist/httpd/Announcement.txt.de
+
+   から入手できます。
+
+   このバージョンの Apache は主にバグ修正とセキュリティの修正のための
+   リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。
+   すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、
+   このリリースは二つの潜在的なセキュリティの問題を修正します:
+
+     o CAN-2004-0940 (cve.mitre.org)
+       SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
+       バッファオーバーフローを修正。
+
+     o CAN-2004-0492 (cve.mitre.org)
+       遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
+
+   Apache 1.3.33 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの
+   ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする
+   ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。
+
+   Apache 1.3.33 は以下からダウンロードできます:
+
+       http://httpd.apache.org/download.cgi
+
+   このサービスは以下の所にリストされているネットワークを利用します:
+
+       http://www.apache.org/mirrors/
+
+   すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。
+
+   Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば)
+   共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース
+   コードも含まれています。同梱されているインストールスクリプトを
+   実行することで、簡単にインストールできます。詳しい説明は README.bindist
+   と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の
+   ためだけに提供されているもので、特定のプラットフォームに対する最新の
+   配布が常に存在するわけではないという点には注意しておいてください。
+   Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって
+   います。このインストール方法をより頑強なものにするための開発は続いて
+   いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows
+   ニュースグループに (英語で) してください。
+
+   1.2 より後に導入された新機能の概要は
+
+   http://httpd.apache.org/docs/new_features_1_3.html
+
+   を読んでください。
+
+   全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。
+   これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、
+   OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い
+   プラットフォームへの対応を含みます。
+
+   Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。
+   インターネットの半数を越えるサーバが Apache かその亜種で運用されています。
+
+   Apache ユーザへの重要なお知らせ:  Apache 1.3 は Unix 系の OS 向けに設計
+   されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への
+   移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに
+   対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、
+   安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、
+   一般には Unix 版にはあてはまりません。
+
+   Apache 2.0 は Apache Portability Library と MPM モジュールを導入する
+   ことにより、最初から複数のオペレーティングシステムのために設計されて
+   きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、
+   セキュリティのために Apache 2.0 に移行することをお薦めします。
+
+                     Apache 1.3.33 の主な変更
+
+  セキュリティ問題
+
+     * CAN-2004-0940 (cve.mitre.org)
+       SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる
+       バッファオーバーフローを修正。
+
+     * CAN-2004-0492 (cve.mitre.org)
+       遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。
+
+  新機能
+
+   特定のプラットフォームに対する新機能:
+
+     * Win32: パイプによるログプロセスの起動やリライトマッププロセスの起動に
+       失敗したときのエラー報告の改善。
+
+   すべてのプラットフォームに対する新機能
+
+     * コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。
+       クライアントが Host ヘッダでポートの値を提供しなかったときに
+       UseCanonicalName Off でどうやってポートの値を決定するかを制御します。
+       コンパイル時に定義されていれば、UseCanonicalName Off では
+       正規の名前を生成するために物理ポート番号を使います。定義されて
+       いなければ、その時点での Port の値と、使われたスキームの
+       デフォルトポートを順に試します。
+
+  バグの修正
+
+   以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.33 で修正された
+   重要なバグです:
+
+     * mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。
+       PR14518。
+
+     * mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。
+       PR 31036。
+
+     * mod_digest: 1.3.31 からの nonce 文字列の計算を修正。
+       AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで
+       再認証をさせられていた。PR 30920。
+
+     * Forensic ロギングが有効になっているときに、ある無効なリクエスト
+       を送られると子プロセスがセグメンテーションフォールトを起こす
+       症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。
+
+     * mod_dav、frontpage やその他のものを動かなくしていたのを修正。
+       1.3.31 に入った、keepalive になっていないけれど、keepalive される
+       リクエストのボディを無視するという動作を妨げていたパッチを修復。
+       PR 29237。

src/Configure

@@ -2063,7 +2063,7 @@ if [ "x$using_shlib" = "x1" ] ; then
 	#    select the special subtarget for shared core generation
 	SUBTARGET=target_shared
 	#    determine additional suffixes for libhttpd.so
-	V=1 R=3 P=35
+	V=1 R=3 P=36
 	if [ "x$SHLIB_SUFFIX_DEPTH" = "x0" ]; then
 	    SHLIB_SUFFIX_LIST=""
 	fi

src/include/httpd.h

@@ -395,7 +395,7 @@ extern "C" {
 
 #define SERVER_BASEVENDOR   "Apache Group"
 #define SERVER_BASEPRODUCT  "Apache"
-#define SERVER_BASEREVISION "1.3.35"
+#define SERVER_BASEREVISION "1.3.36"
 #define SERVER_BASEVERSION  SERVER_BASEPRODUCT "/" SERVER_BASEREVISION
 
 #define SERVER_PRODUCT  SERVER_BASEPRODUCT
@@ -416,7 +416,7 @@ API_EXPORT(const char *) ap_get_server_built(void);
  * Always increases along the same track as the source branch.
  * For example, Apache 1.4.2 would be '10402100', 2.5b7 would be '20500007'.
  */
-#define APACHE_RELEASE 10335100
+#define APACHE_RELEASE 10336100
 
 #define SERVER_PROTOCOL "HTTP/1.1"
 #ifndef SERVER_SUPPORT