Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 4 reacties
Bron: Apache Software Foundation, submitter: ed-win

Het ontwikkelteam van het Apache HTTP Server Project heeft een nieuwe versie van hun Apache-http-server uitgegeven. Deze webserver wordt op veel platformen gebruikt en is met behulp van modules met allerlei functionaliteiten uit te rusten. Het versienummer is aangekomen bij 2.2.10 en voorzien van de volgende aankondiging en lijst met aanpassingen:

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.2.10 of the Apache HTTP Server ("Apache").

This version of Apache is principally a bug and security fix release. The following potential security flaws are addressed:
  • CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.
We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade.

Changes with Apache 2.2.10:
  • Allow for smax to be 0 for balancer members so that all idle connections are able to be dropped should they exceed ttl. PR 43371
  • mod_proxy_http: Don't trigger a retry by the client if a failure to read the response line was the result of a timeout.
  • Support chroot on Unix-family platforms PR 43596
  • mod_ssl: implement dynamic mutex callbacks for the benefit of OpenSSL.
  • mod_proxy_balancer: Add 'bybusyness' load balance method.
  • mod_authn_alias: Detect during startup when AuthDigestProvider is configured to use an incompatible provider via AuthnProviderAlias. PR 45196
  • mod_proxy: Add 'scolonpathdelim' parameter to allow for ';' to also be used as a session path separator/delim PR 45158.
  • mod_charset_lite: Avoid dropping error responses by handling meta buckets correctly. PR 45687
  • mod_proxy_http: Introduce environment variable proxy-initial-not-pooled to avoid reusing pooled connections if the client connection is an initial connection. PR 37770.
  • mod_rewrite: Allow Cookie option to set secure and HttpOnly flags. PR 44799
  • mod_ssl: Rewrite shmcb to avoid memory alignment issues. PR 42101.
  • mod_proxy: Add connectiontimeout parameter for proxy workers in order to be able to set the timeout for connecting to the backend separately. PR 45445
  • mod_dav_fs: Retrieve minimal system information about directory entries when walking a DAV fs, resolving a performance degradation on Windows. PR 45464.
  • mod_cgid: Pass along empty command line arguments from an ISINDEX query that has consecutive '+' characters in the QUERY_STRING, matching the behavior of mod_cgi.
  • mod_headers: Prevent Header edit from processing only the first header of possibly multiple headers with the same name and deleting the remaining ones. PR 45333.
  • mod_proxy_balancer: Move nonce field in the balancer manager page inside the html form where it belongs. PR 45578.
  • mod_proxy_http: Do not forward requests with 'Expect: 100-continue' to known HTTP/1.0 servers. Return 'Expectation failed' (417) instead.
  • mod_rewrite: Preserve the query string when [proxy,noescape]. PR 45247.
Versienummer:2.2.10
Releasestatus:Final
Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, OS/2, Solaris, UNIX, Windows Server 2003, Windows Vista, Windows Server 2008
Website:Apache Software Foundation
Download:http://httpd.apache.org/download.cgi
Licentietype:Voorwaarden (GNU/BSD/etc.)
Moderatie-faq Wijzig weergave

Reacties (4)

Zo dat heeft een tijdje geduurd voordat deze versie uit kwam :)
Zie nog niet veel dingen die voor mij van belang zijn. Ik wacht de eerste berichten maar eens af op het DA forum. :)
Ik ben natuurlijk niet erg betrokken bij de ontwikkeling bij Apache, maar dit lijkt me overall best wel een nietszeggende update. Een heleboel updates, maar het moet maar net in jouw straatje zijn.
CVE-2008-2939: mod_proxy_ftp: Prevent XSS attacks when using wildcards in the path of the FTP URL. Discovered by Marc Bevand of Rapid7.
En zie ook de rest van de lijst es goed er op na...
Lijkt me toch een forse security verbetering, die voor veel servers van belang is.
Verder gaan ze niet iedereen adviseren om te upgraden als ze niet echt 100% zeker weten dat deze versie significante verbeteringen in houdt. Trouwens, het updaten van Apache gaat onder de meeste linux distro's vrij eenvoudig, dus waarom zou je niet updaten?! De config wordt gewoon meegenomen, ook op complexe servers, maximale downtime 20 seconden voor het herstarten van Apache, in ruil voor die 20 seconden krijg je meer vertrouwen van je klanten (bij webhosters) omdat je de meest recente software gebruikt... Helemaal niet onbelangrijk lijkt me zo.

[Reactie gewijzigd door Escovan op 25 oktober 2008 04:15]

Het overgrote deel van de apache servers functioneert niet als proxy server, en van het overgrote deel van de proxy server, maakt de meerderheid geen gebruik van de mogelijkheid om FTP te proxy-en.

Behalve dat moet je eerst toegang hebben tot de proxy server, voordat deze lek is uit te buiten. Aangezien de meeste proxy's enkel open staan voor gebruikers van het interne network, lijkt mij het gemak waarmee uitbuiters kunnen worden opgespoord een voldoende drempel om er van uit te kunnen gaan dat het in deze gevallen meestal niet zal worden misbruikt.

Ik kan me, vanwege het relatief beperkte gebruik van de proxy_ftp-module, ook niet voorstellen dat deze module bij de meeste distributies standaard ingeschakeld is.

Vanuit beveiligingsoogpunt lijkt me dit voor de meeste gebruikers dan ook geen hele spannende update. Zoals je zelf al zegt is er geen rede om niet te updaten als je distro de update aanlevert, maar dat is een ander verhaal.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True