Software-update: Apache 2.2.10

Het ontwikkelteam van het Apache HTTP Server Project heeft een nieuwe versie van hun Apache-http-server uitgegeven. Deze webserver wordt op veel platformen gebruikt en is met behulp van modules met allerlei functionaliteiten uit te rusten. Het versienummer is aangekomen bij 2.2.10 en voorzien van de volgende aankondiging en lijst met aanpassingen:

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.2.10 of the Apache HTTP Server ("Apache").

This version of Apache is principally a bug and security fix release. The following potential security flaws are addressed:
  • CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.
We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade.

Changes with Apache 2.2.10:
  • Allow for smax to be 0 for balancer members so that all idle connections are able to be dropped should they exceed ttl. PR 43371
  • mod_proxy_http: Don't trigger a retry by the client if a failure to read the response line was the result of a timeout.
  • Support chroot on Unix-family platforms PR 43596
  • mod_ssl: implement dynamic mutex callbacks for the benefit of OpenSSL.
  • mod_proxy_balancer: Add 'bybusyness' load balance method.
  • mod_authn_alias: Detect during startup when AuthDigestProvider is configured to use an incompatible provider via AuthnProviderAlias. PR 45196
  • mod_proxy: Add 'scolonpathdelim' parameter to allow for ';' to also be used as a session path separator/delim PR 45158.
  • mod_charset_lite: Avoid dropping error responses by handling meta buckets correctly. PR 45687
  • mod_proxy_http: Introduce environment variable proxy-initial-not-pooled to avoid reusing pooled connections if the client connection is an initial connection. PR 37770.
  • mod_rewrite: Allow Cookie option to set secure and HttpOnly flags. PR 44799
  • mod_ssl: Rewrite shmcb to avoid memory alignment issues. PR 42101.
  • mod_proxy: Add connectiontimeout parameter for proxy workers in order to be able to set the timeout for connecting to the backend separately. PR 45445
  • mod_dav_fs: Retrieve minimal system information about directory entries when walking a DAV fs, resolving a performance degradation on Windows. PR 45464.
  • mod_cgid: Pass along empty command line arguments from an ISINDEX query that has consecutive '+' characters in the QUERY_STRING, matching the behavior of mod_cgi.
  • mod_headers: Prevent Header edit from processing only the first header of possibly multiple headers with the same name and deleting the remaining ones. PR 45333.
  • mod_proxy_balancer: Move nonce field in the balancer manager page inside the html form where it belongs. PR 45578.
  • mod_proxy_http: Do not forward requests with 'Expect: 100-continue' to known HTTP/1.0 servers. Return 'Expectation failed' (417) instead.
  • mod_rewrite: Preserve the query string when [proxy,noescape]. PR 45247.
Versienummer 2.2.10
Releasestatus Final
Besturingssystemen Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, OS/2, Solaris, UNIX, Windows Server 2003, Windows Vista, Windows Server 2008
Website Apache Software Foundation
Download http://httpd.apache.org/download.cgi
Licentietype Voorwaarden (GNU/BSD/etc.)

Door Japke Rosink

Meukposter

Feedback • 24-10-2008 16:05
4 • submitter: ed-win

24-10-2008 • 16:05

4 Linkedin

Submitter: ed-win

Bron: Apache Software Foundation

Update-historie

02-'19 Apache httpd 2.4.38 1
10-'18 Apache httpd 2.4.37 0
10-'18 Apache httpd 2.4.35 2
06-'17 Apache httpd 2.4.26 2
02-'12 Apache 2.4 18
11-'11 Apache 2.3.15 bèta 0
05-'11 Apache 2.2.19 / 2.3.12-beta 1
08-'09 Apache 2.2.13 1
07-'09 Apache 2.2.12 10
12-'08 Apache 2.2.11 3
Meer historie

Lees meer

Apache

geen prijs bekend

Serversoftware System en netwerk utilities Open source Webserver

Reacties (4)

-Moderatie-faq
4
4
0
0
0
0
Wijzig sortering
Ankh
24 oktober 2008 16:21
Zo dat heeft een tijdje geduurd voordat deze versie uit kwam :)
Zie nog niet veel dingen die voor mij van belang zijn. Ik wacht de eerste berichten maar eens af op het DA forum. :)
Patriot
@Ankh25 oktober 2008 02:51
Ik ben natuurlijk niet erg betrokken bij de ontwikkeling bij Apache, maar dit lijkt me overall best wel een nietszeggende update. Een heleboel updates, maar het moet maar net in jouw straatje zijn.
Escovan
@Patriot25 oktober 2008 04:14
CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.
En zie ook de rest van de lijst es goed er op na...
Lijkt me toch een forse security verbetering, die voor veel servers van belang is.
Verder gaan ze niet iedereen adviseren om te upgraden als ze niet echt 100% zeker weten dat deze versie significante verbeteringen in houdt. Trouwens, het updaten van Apache gaat onder de meeste linux distro's vrij eenvoudig, dus waarom zou je niet updaten?! De config wordt gewoon meegenomen, ook op complexe servers, maximale downtime 20 seconden voor het herstarten van Apache, in ruil voor die 20 seconden krijg je meer vertrouwen van je klanten (bij webhosters) omdat je de meest recente software gebruikt... Helemaal niet onbelangrijk lijkt me zo.

[Reactie gewijzigd door Escovan op 25 oktober 2008 04:15]

Anoniem: 23636
@Escovan25 oktober 2008 16:15
Het overgrote deel van de apache servers functioneert niet als proxy server, en van het overgrote deel van de proxy server, maakt de meerderheid geen gebruik van de mogelijkheid om FTP te proxy-en.

Behalve dat moet je eerst toegang hebben tot de proxy server, voordat deze lek is uit te buiten. Aangezien de meeste proxy's enkel open staan voor gebruikers van het interne network, lijkt mij het gemak waarmee uitbuiters kunnen worden opgespoord een voldoende drempel om er van uit te kunnen gaan dat het in deze gevallen meestal niet zal worden misbruikt.

Ik kan me, vanwege het relatief beperkte gebruik van de proxy_ftp-module, ook niet voorstellen dat deze module bij de meeste distributies standaard ingeschakeld is.

Vanuit beveiligingsoogpunt lijkt me dit voor de meeste gebruikers dan ook geen hele spannende update. Zoals je zelf al zegt is er geen rede om niet te updaten als je distro de update aanlevert, maar dat is een ander verhaal.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee