Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties
Bron: Apache, submitter: sanderr

Apache heeft nieuwe versies uitgebracht van zijn webserversoftware in zowel de 1.3-, de 2.0- en 2.2-tak. Er is namelijk een ernstige zogenaamde 'off-by-one'-fout ontdekt in de mod_rewrite. Deze fout zit in alle versies en bestaat in versie 1.3 al sinds 1.3.28, in versie 2.0 sinds 2.0.46 en in versie 2.2 al vanaf het allereerste begin. Meer informatie over deze fout is te vinden in de release notes:

The following potential security flaws are addressed;

CVE-2006-3747: An off-by-one flaw exists in the Rewrite module, mod_rewrite, as shipped with Apache 1.3 since 1.3.28, 2.0 since 2.0.46, and 2.2 since 2.2.0.

Depending on the manner in which Apache HTTP Server was compiled, this software defect may result in a vulnerability which, in combination with certain types of Rewrite rules in the web server configuration files, could be triggered remotely. For vulnerable builds, the nature of the vulnerability can be denial of service (crashing of web server processes) or potentially allow arbitrary code execution. This issue has been rated as having important security impact by the Apache HTTP Server Security Team.

This flaw does not affect a default installation of Apache HTTP Server. Users who do not use, or have not enabled, the Rewrite module mod_rewrite are not affected by this issue. This issue only affects installations using a Rewrite rule with the following characteristics:
  • The RewriteRule allows the attacker to control the initial part of the rewritten URL (for example if the substitution URL starts with $1)
  • The RewriteRule flags do NOT include any of the following flags: Forbidden (F), Gone (G), or NoEscape (NE).
Please note that ability to exploit this issue is dependent on the stack layout for a particular compiled version of mod_rewrite. If the compiler used to compile Apache HTTP Server has added padding to the stack immediately after the buffer being overwritten, it will not be possible to exploit this issue, and Apache HTTP Server will continue operating normally.[break]
Apache logo (groot)
Moderatie-faq Wijzig weergave

Reacties (21)

Is het nu mogenlijk PHP de draaien met Apache 2.2.3?

want met de vorige 2.2.* ging dat niet

* snake903 draait 2.0.59 lokaal
server:/srv/httpd# bin/httpd -v
Server version: Apache/2.2.2
Server built: Jun 25 2006 13:27:24

server:/srv/httpd# bin/httpd -t -D DUMP_MODULES
Loaded Modules:
...
php5_module (shared)
Syntax OK

:)
Bij mij zegt hij anders nog altidj dat hij de php module niet kan vinden.

(Win XP, PHP)
Ik heb een paar weken geleden apache 2.2.2 geinstalleerd op een win-xp machine, als back-up server, en kwam inderdaad ook problemen tegen met PHP5. Uiteindelijk na een tijdje googelen kwam ik erachter dat een beta versie van PHP5 (in mijn geval 5.2.x) met een php5apache2_2.dll wel lukte. (zie http://snaps.php.net/).
Ach ja, windows en zijn eeuwenoude dll hell...
Dit heeft niks met DLLs te maken. PHP zelf heeft nog geen versie gereleased die met Apache 2.2 overweg kan.
Ach ja, windows en zijn eeuwenoude dll hell...

Ik weet dat Apache goed op windows moet draaien, maar HET OS om Apache op te draaien blijft gewoon *nix...

Die kant en klare installers zoals iemand hierboven vermeld zijn overigens vreselijk bloated en zijn bad news als het gaat om performance en optimalisaties...
Apache 2.2.x en PHP5 gaat prima samen op windows en Linux.

De standaard PHP5 binary die je vindt op PHP.net werkt _niet_ met Apache 2.2 geloof ik i.v.m. incompabiliteit (de apache2 handler die ze daar gebruiken werkt voor 2.0 en niet voor 2.2).

Gelukkig vind je op ApacheLounge (http://www.apachelounge.com/download/), site is nu down..gebeurt bij iedere Apache release, een werkende php5apache2.dll voor php 5.1.x
haha, vast niet per ongeluk versie 1337 er van gemaakt ;)
Klopt, is omdat de vorige versie 1.3.36 was :)
Staan punten tussen, als je goed leest, zie je dat ET zijn naam probeert te zeggen. :+
Apache 1.3 en 2.0 zijn de legacy branches. Alle leuke dingen worden ontwikkeld voor Apache 2.2.3 en 2.3.0 (trunk).

Op de apache developers mailinglist (httpd-dev) is al vaak de discussie geweest of Apache 1.3 alleen nog maar in het archief opgenomen zou moeten worden.

Support voor 1.3 bugs is er nog maar amper.

Voor Windows is Apache 2.2 ook beschikbaar en dat werkt prima. Ook de 2.0.x branche heeft hier nog nooit problemen opgeleverd.
De binaries van Apache op Windows worden nu nog met een oude Visual Studio 2002 gemaakt maar dit wordt binnenkort ook 2005. De ontwikkelaars nemen Apache zeker nog serieus op Windows.

Ik zie maar weinig grote sites draaien op 2.0 of 2.2 terwijl vooral de 2.0 branche al erg lang in ontwikkeling is. Misschien komt dit door custom modules ofzo, maar zeker het proxy (balancer) en caching gedeelte heeft veel updates gekregen.

Dus vergeet 1.3.* en gebruik tenminste 2.0 of 2.2
haal jij even cPanel over :P.
Die werken ook nog met 1.3 :( Dus het nu op mijn machine Apache 2 ernaast geinstalleerd staan op andere poort (8080). Enkel om SVN te draaien :( Beetje waste of geheugen/cpu als je het mij vraagt, en zou liever alles onder apache 2 draaien.

info@cpanel.net will do :)
Plesk / DA anyone ?
Ik gebruik hier DA, die installen default ook 1.3, maar hebben een update script om de boel om te zetten naar 2.0

Zelf draai ik op veel van de DA bakken al Apache 2.2 en PHP5.1...in dit geval zijn het zelf gebakken rpm packages die via yum geinstalleerd worden aangezien het update mechanisme van DA nogal omslachtig en onhandig is als je iets anders wilt als zij aanbieden...

Een dergelijke aktie moet bij Cpanel ook wel te doen zijn lijkt me...de configs van 1.3 en 2.0 wijken zo weinig af dat dat te doen moet zijn.
weet iemand waarom apache van de 1.3 serie geen windows versies levert? Sinds 1.3.36 heb ik geen win32 binaries meer gezien.
Binaries distributed by the Apache HTTP Server Project are provided as a
courtesy by individual project contributors. The project makes no
commitment to release the Apache HTTP Server in binary form for any
particular platform, nor on any particular schedule.

IMPORTANT NOTE FOR APACHE USERS: Apache 1.3 was designed for Unix OS
variants. While the ports to non-Unix platforms (such as Win32, Netware or
OS2) will function for some applications, Apache 1.3 is not designed for
these platforms. Apache 2 was designed from the ground up for security,
stability, or performance issues across all modern operating systems.
Users of any non-Unix ports are strongly cautioned to move to Apache 2.

The Apache project no longer distributes non-Unix platform binaries from
the main download pages for Apache 1.3. If absolutely necessary, a binary
may be available at http://archive.apache.org/dist/httpd/.

Apache is the most popular web server in the known universe; about 2/3 of
the servers on the Internet run Apache HTTP Server, or one of its
variants.
Van de Announcements page:
IMPORTANT NOTE FOR APACHE USERS: Apache 1.3 was designed for Unix OS variants. While the ports to non-Unix platforms (such as Win32, Netware or OS2) will function for some applications, Apache 1.3 is not designed for these platforms. Apache 2 was designed from the ground up for security, stability, or performance issues across all modern operating systems. Users of any non-Unix ports are strongly cautioned to move to Apache 2.

The Apache project no longer distributes non-Unix platform binaries from the main download pages for Apache 1.3.
Was toch niet moeilijk om te vinden? :Y)
mod_rewrite werkt hier anders prima met een 2.0 versie van apache. het is ideaal als testserver voordat je het naar een 'echte' server stuurt.
Ik gebruik sinds kort apache2triad.
Dit pakket is een verzameling van veel gebruikte open source software met o.a.: Apache webserver, PhpMyAdmin, Perl, Php, Python, MySQL, AWstats, Xmail en FTP.

Dit is zo eenvoudig te installeren, dat zelfs de grootste leek alles draaiend krijgt in een paar minuten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True