开发者新闻: Apache 1.3.27 发布!
发布者: w4z004于 2002/10/4 14:07:06 阅读量: 6073新版本的 Apache 已发布,此次版本号为 1.3.27。主要安全漏洞:1.3.27 修复了以下主要安全漏洞
- 修复了 CAN-2002-0839 (cve.mitre.org) 中提到的关于基于 System V 共享内存记分板的所有权权限的安全漏洞。修复结果引入了新的 ShmemUIDisUser 指令。 - 修复了 CAN-2002-0840 (cve.mitre.org) 中提到的使用通配符 DNS 时默认错误页面中的跨站脚本漏洞。 - 修复了 CAN-2002-0843 (cve.mitre.org) 中提到的 ab.c 中的一些可能溢出,这些溢出可能被恶意服务器利用。新特性1.3.27 的新特性(与 1.3.26 相比)主要包括: - 添加了新的 ErrorHeader 指令。 - 配置文件全局匹配现在可以使用简单的模式匹配。 - 请求行解析中的协议版本(例如:HTTP/1.1)现在不区分大小写。 - ap_snprintf() 现在可以区分截断输出和正好填充缓冲区的输出。 - 添加了 ProtocolReqCheck 指令,该指令确定 Apache 是否将检查请求中有效协议字符串(例如:HTTP/1.1),如果无效则返回 HTTP_BAD_REQUEST。 - Apache 1.3.26 之前的版本会静默忽略无效协议字符串,但 1.3.26 包括了更严格的检查。这使得它可以运行时配置。 - 为 mod_auth_db 添加了对 Berkeley-DB/4.x 的支持。 - httpd -V 现在也会打印出编译时间定义的 HARD_SERVER_LIMIT 值。与特定平台相关的新特性 - 支持 Caldera OpenUNIX 8。 - 在 OpenBSD 上默认使用 SysV 信号量。 - 在 NetWare CLib 平台上实现了 mod_rewrite 的文件锁定。已修复的错误以下错误在 Apache 1.3.26 中被发现并已在 Apache 1.3.27 中修复:mod_proxy 修复: - mod_proxy 中的缓存在进行验证时错误地更新了 304 响应中的 Content-Length 值。 - 修复了代理中的一个问题,其中其他模块的头信息被添加到响应头中,尽管已经在核心中完成。 - 在 1.3.26 中,null 或全部空白的 Content-Length 字段会触发错误;旧版本会静默忽略此并假定 0。1.3.27 恢复了此行为。 - Win32:修复了当 CGI 脚本的 #! 行在第一 1023 个字节中不包含 a 或(即换行符)时的一个字节缓冲区溢出。溢出始终是一个 ''(字符串终止)字符。 下载 Apache 1.3.27
