Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: Apache HTTP Server Project, submitter: Lord_Gaav

Eergisteren hebben de ontwikkelaars van het Apache HTTP Server Project versie 1.3.33 van deze bekende webserver uitgebracht. In deze versie zijn naast de nodige bugfixes ook twee beveiligingslekken gedicht. Het changelog deelt de volgende wijzigingen mee:

Apache logoSecurity vulnerabilities
The main security vulnerabilities addressed in 1.3.33 are: New features
New features that relate to specific platforms:
  • Win32: Improve error reporting after a failed attempt to spawn a piped log process or rewrite map process.
New features that relate to specific platforms:
  • Added new compile-time flag: UCN_OFF_HONOR_PHYSICAL_PORT. It controls how UseCanonicalName Off determines the port value if the client doesn't provide one in the Host header. If defined during compilation, UseCanonicalName Off will use the physical port number to generate the canonical name. If not defined, it tries the current Port value followed by the default port for the current scheme.
Bugs fixed
The following bugs were found in Apache 1.3.31 (or earlier) and have been fixed in Apache 1.3.33: mod_rewrite: Fix query string handling for proxied URLs. PR 14518.
  • mod_rewrite: Fix 0 bytes write into random memory position. PR 31036.
  • mod_digest: Fix nonce string calculation since 1.3.31 which would force re-authentication for every connection if AuthDigestRealmSeed was not configured. PR 30920.
  • Fix trivial bug in mod_log_forensic that caused the child to seg fault when certain invalid requests were fired at it with forensic logging is enabled. PR 29313.
  • No longer breaks mod_dav, frontpage and others. Repair a patch in 1.3.31 which prevented discarding the request body for requests that will be keptalive but are not currently keptalive. PR 29237.
  • Versienummer:1.3.33
    Besturingssystemen:Windows 9x, Windows NT, Windows 2000, Linux, BSD, Windows XP, macOS, Solaris, UNIX, Windows Server 2003
    Website:Apache HTTP Server Project
    Download:http://httpd.apache.org/download.cgi
    Licentietype:Voorwaarden (GNU/BSD/etc.)
    Moderatie-faq Wijzig weergave

    Reacties (18)

    Vraagje: Ik heb voor mijn nForce3-250 moederbord met firewall ook apache runnen op mijn machine. Natuurlijk heb ik geen flauw idee welke versie, maar moet ik deze nu upgraden of kunnen security leaks op dit niveau geen kwaad?

    Natuurlijk heeft mijn modem/router een NAT, maar de overige stortvloed aan firewalls gebruik ik niet (WinXP en nForce)

    @Darkvater: Goed vanaf mijn werk leek het zinnig om dat te doen, maar ik heb het nu thuis even geprobeerd maar een niet bestaand internet adres komt natuurlijk nergens uit omdat de Network Access Manager van nVidia alleen daarvoor gebruikt wordt, niet voor internettoegang. Dus toen bedacht ik ineens, dat ik de properties van apache.exe kan opvragen: ---> 2.0.47.0. Nu ben ik nog meer clueless geworden. Nou goed, zolang nVidia geen update levert ga ik er dus maar van uit dat het goed is.
    ga gewoon naar een URL op je pc die niet bestaat, dan staat er mooi onder welke Apache versie je draait.
    Tenzij je dit natuurlijk hebt uitgezet, maar iemand die het versienummer niet weet, weet vast en zeker ook niet hoe dit in te stellen ;)
    Ik zie alleen maar een W32 binary...

    Wie weet waar de .zip staat voor 1.3.33?
    Dank je, maar voor zover ik het begrijp zijn dat Unix files...

    Ik heb weinig zin om die zgn. line endings waarover wordt gesproken te gaan veranderen. :)

    Ik wacht nog wel ff op de .zip.
    The old stable release is Apache 1.3.33
    ...
    You must have the Microsoft System Installer (version 1.2 or greater) already installed if you want to install the -src flavor. If this bothers you, seek the -win32-src.zip file in /dist/httpd/. /dist/httpd/ -win32-src.zip files contain NO executable programs! but will compile on Windows, without having to change Unix line endings found in the .tar.gz and .tar.Z files.
    /// Het vage is alleen dattie daar niet staat.. :?
    bron: http://dist.apache.easynet.nl/httpd/binaries/win32/
    De 1.3.33 is nog niet in -win32-src.zip formaat denk ik, want voor de rest staat alles erop...
    De bron die je noemt staat wel de msi-installer, maar dat zul je wel niet bedoelen.

    Dan heb je 3 opties:
    - de tar.gz downloaden
    - de msi downloaden (dan toch maar)
    - wachten tot de .zip gebakken is
    Mensen, wat is nou het verschil tussen deze versie en versie 2.0.52??
    In principe dezelfde vraag die terugkwam toen Java5 een update had. De stap naar de nieuwe versie is nog te groot, dus mensen gebruiken (al dan niet voorlopig) liever de oudere versie, maar daarin worden, zoals Eärendil zegt, ook nog insecten gevonden.
    En MySQL: De 4.1 serie is zodanig anders dan de 4.0 versie, dat daar ook nog steeds in ontwikkeld wordt, zelfs nog bugfixes voor de 3.23 versie! :P
    met als enige verschil dat bijna iedere mysql server die ik tegenkom nog 3.23 is, en steeds meer apaches 2.0 worden. ik geloof dat mysql 4.x nogal wat problemen had, en 3.23 is ook de enige versie die ik bij mijn distro krijg.
    Bij de 2.0 versie heb ik tot op heden altijd cache problemen gehad...
    Dit is een release in de 1.3.x serie, de 'oude' stabiele serie. Apache heeft een tijd geleden 2.0.x stabiel verklaard, maar veel mensen gebruiken nog de 1.3 serie, daarom worden er in die serie ook nog insecten gedood.
    Een paar dagen terug 1.3.32 erop gezet, en dan is 1.3.33 al uit :)
    Ze wisten waarschijnlijk al dat er nog een bug in zat en toen hebben ze 1.3.32 niet officieel vrijgegeven (wel beschikbaar gesteld). Enkele dagen daarna die ene security bug nog gefixed en nu dus wel een release :)
    Als je Firefox gebruikt en je hebt de webdeveloper plugin geinstalleerd, kun je van elke webpagina onmiddelijk de response headers opvragen.

    Dan lees je bijv. het volgende voor tweakers.net:

    Response Headers - http://www.tweakers.net/meuktracker/7673

    Date: Tue, 02 Nov 2004 07:56:07 GMT
    Server: Apache/1.3.31 (Unix) PHP/4.3.8 mod_gzip/1.3.19.1a
    X-Served-By: Abaris, Abaris
    X-Powered-By: PHP/4.3.8
    Expires: Mon, 26 Jul 1995 05:00:00 GMT
    Last-Modified: Tue, 02 Nov 2004 07:56:07 GMT
    Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
    Pragma: no-cache
    P3P: CP='CUR ADM OUR NOR STA NID'
    Set-Cookie: tc=1099382167%2C1099382071; expires=Thu, 02-Dec-04 07:56:07 GMT; path=/; domain=.tweakers.net
    Content-Encoding: gzip
    Vary: Accept-Encoding
    Connection: close
    Transfer-Encoding: chunked
    Content-Type: text/html; charset=ISO-8859-15
    1.3 :?
    ik draai al een hele tijd 2.0, waarom komen er van de oudere versie eigenlijk nog updates uit?? is die 2.0 niet stabiel genoeg ofzo? hij is bij mij nog nooit gecrashd...

    Op dit item kan niet meer gereageerd worden.



    Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

    © 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True