Software updates - Apache 2.2.10 | Core | Tweakers.net Meuktracker

Apache 2.2.10

Door Japke Rosink, vrijdag 24 oktober 2008 16:05
Bron: Apache Software Foundation, submitter: ed-win, views: 4.386

Het ontwikkelteam van het Apache HTTP Server Project heeft een nieuwe versie van hun Apache-http-server uitgegeven. Deze webserver wordt op veel platformen gebruikt en is met behulp van modules met allerlei functionaliteiten uit te rusten. Het versienummer is aangekomen bij 2.2.10 en voorzien van de volgende aankondiging en lijst met aanpassingen:

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.2.10 of the Apache HTTP Server ("Apache").

This version of Apache is principally a bug and security fix release. The following potential security flaws are addressed:
CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.
We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade.

Changes with Apache 2.2.10:
Allow for smax to be 0 for balancer members so that all idle connections are able to be dropped should they exceed ttl. PR 43371
mod_proxy_http: Don't trigger a retry by the client if a failure to read the response line was the result of a timeout.
Support chroot on Unix-family platforms PR 43596
mod_ssl: implement dynamic mutex callbacks for the benefit of OpenSSL.
mod_proxy_balancer: Add 'bybusyness' load balance method.
mod_authn_alias: Detect during startup when AuthDigestProvider is configured to use an incompatible provider via AuthnProviderAlias. PR 45196
mod_proxy: Add 'scolonpathdelim' parameter to allow for ';' to also be used as a session path separator/delim PR 45158.
mod_charset_lite: Avoid dropping error responses by handling meta buckets correctly. PR 45687
mod_proxy_http: Introduce environment variable proxy-initial-not-pooled to avoid reusing pooled connections if the client connection is an initial connection. PR 37770.
mod_rewrite: Allow Cookie option to set secure and HttpOnly flags. PR 44799
mod_ssl: Rewrite shmcb to avoid memory alignment issues. PR 42101.
mod_proxy: Add connectiontimeout parameter for proxy workers in order to be able to set the timeout for connecting to the backend separately. PR 45445
mod_dav_fs: Retrieve minimal system information about directory entries when walking a DAV fs, resolving a performance degradation on Windows. PR 45464.
mod_cgid: Pass along empty command line arguments from an ISINDEX query that has consecutive '+' characters in the QUERY_STRING, matching the behavior of mod_cgi.
mod_headers: Prevent Header edit from processing only the first header of possibly multiple headers with the same name and deleting the remaining ones. PR 45333.
mod_proxy_balancer: Move nonce field in the balancer manager page inside the html form where it belongs. PR 45578.
mod_proxy_http: Do not forward requests with 'Expect: 100-continue' to known HTTP/1.0 servers. Return 'Expectation failed' (417) instead.
mod_rewrite: Preserve the query string when [proxy,noescape]. PR 45247.

Website	Apache Software Foundation
Download	http://httpd.apache.org/download.cgi

Social sharing uitschakelen

16:59	Google Gmail for Mobile 2.0.6
16:03	Blender 2.48a

Versienummer	2.2.10
Releasestatus	Final
Besturingssystemen	AIX, FreeBSD, HPUX, Irix, Linux, Mac OS X, OS/2, Solaris, Windows 2000, Windows 9x, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
Website	Apache Software Foundation
Download	http://httpd.apache.org/download.cgi
Licentietype	Voorwaarden (GNU/BSD/etc.)

Versienummer

2.2.10

Releasestatus

Final

Besturingssystemen

AIX, FreeBSD, HPUX, Irix, Linux, Mac OS X, OS/2, Solaris, Windows 2000, Windows 9x, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Website

Apache Software Foundation

Download

http://httpd.apache.org/download.cgi

Licentietype

Voorwaarden (GNU/BSD/etc.)

Reacties

Door Ankh, vrijdag 24 oktober 2008 16:21

Zo dat heeft een tijdje geduurd voordat deze versie uit kwam

Zie nog niet veel dingen die voor mij van belang zijn. Ik wacht de eerste berichten maar eens af op het DA forum.

Door Patriot, zaterdag 25 oktober 2008 02:51

Ik ben natuurlijk niet erg betrokken bij de ontwikkeling bij Apache, maar dit lijkt me overall best wel een nietszeggende update. Een heleboel updates, maar het moet maar net in jouw straatje zijn.

Door Escovan, zaterdag 25 oktober 2008 04:14

CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.

En zie ook de rest van de lijst es goed er op na...
Lijkt me toch een forse security verbetering, die voor veel servers van belang is.
Verder gaan ze niet iedereen adviseren om te upgraden als ze niet echt 100% zeker weten dat deze versie significante verbeteringen in houdt. Trouwens, het updaten van Apache gaat onder de meeste linux distro's vrij eenvoudig, dus waarom zou je niet updaten?! De config wordt gewoon meegenomen, ook op complexe servers, maximale downtime 20 seconden voor het herstarten van Apache, in ruil voor die 20 seconden krijg je meer vertrouwen van je klanten (bij webhosters) omdat je de meest recente software gebruikt... Helemaal niet onbelangrijk lijkt me zo.

[Reactie gewijzigd door Escovan op zaterdag 25 oktober 2008 04:15]

Door Tubbie, zaterdag 25 oktober 2008 16:15

Het overgrote deel van de apache servers functioneert niet als proxy server, en van het overgrote deel van de proxy server, maakt de meerderheid geen gebruik van de mogelijkheid om FTP te proxy-en.

Behalve dat moet je eerst toegang hebben tot de proxy server, voordat deze lek is uit te buiten. Aangezien de meeste proxy's enkel open staan voor gebruikers van het interne network, lijkt mij het gemak waarmee uitbuiters kunnen worden opgespoord een voldoende drempel om er van uit te kunnen gaan dat het in deze gevallen meestal niet zal worden misbruikt.

Ik kan me, vanwege het relatief beperkte gebruik van de proxy_ftp-module, ook niet voorstellen dat deze module bij de meeste distributies standaard ingeschakeld is.

Vanuit beveiligingsoogpunt lijkt me dit voor de meeste gebruikers dan ook geen hele spannende update. Zoals je zelf al zegt is er geen rede om niet te updaten als je distro de update aanlevert, maar dat is een ander verhaal.

Op dit item kan niet meer gereageerd worden.

Apache 2.2.10

Meuktracker I/O

Shortcuts

Details

Updategeschiedenis

Gerelateerde producten

Reacties

21:35 Nieuws

02:13 Productreviews

06:58 Vraag & Aanbod

25-05 Jobs

04:24 Etc.

06:57 Reacties

07:02 Forum

25-05 Gesponsorde acties

00:41 Tweakblogs

25-05 Computable headlines

25-05 CRN headlines