Announcement.de   [plain text]



                   Apache HTTP Server 1.3.33 freigegeben

   Wir, die Apache Software Foundation und das Apache HTTP Server Projekt, 
   freuen uns, die Freigabe der Version 1.3.33 des Apache HTTP Servers 
   ("Apache") bekannt zu geben. Diese Ankündigung führt die wesentlichen 
   Änderungen von 1.3.33 gegenüber 1.3.31 (1.3.32 wurde nicht offiziell
   freigegeben) auf. Die Ankündigung ist auch in englischer Sprache sowie
   japanischer Übersetzung unter

        http://www.apache.org/dist/httpd/Announcement.txt
        http://www.apache.org/dist/httpd/Announcement.txt.ja

   verfügbar.

   Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits-
   Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des Dokumentes
   aufgeführt. Die vollständige Liste der Änderungen ist in der CHANGES-
   Datei zu finden. Apache 1.3.33 behebt insbesondere 2 mögliche
   Sicherheitslücken:

     o CAN-2004-0940 (cve.mitre.org)
       Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
       SSI-Befehl.
 
     o CAN-2004-0492 (cve.mitre.org)
       Abweisen von Antworten eines entfernten Servers, wenn ein
       ungültiger (negativer) Content-Length-Header gesendet wurde.

   Wir betrachten den Apache 1.3.33 als die beste verfügbare Version des
   Apache 1.3 und wir empfehlen Benutzern älterer Versionen, insbesondere
   der Familien 1.1.x und 1.2.x, umgehend die Aufrüstung. Für die 1.2.x-
   Familie werden keine weiteren Releases mehr erstellt.

   Apache 1.3.33 steht unter folgender Adresse zum Download bereit:

       http://httpd.apache.org/download.cgi

   Dieser Service nutzt das Mirror-Netzwerk, welches unter folgender
   Adresse aufgeführt wird:

       http://www.apache.org/mirrors/

   Eine vollständige Auflistung aller bisherigen Änderungen finden Sie in
   der Datei CHANGES_1.3.

   Seit Apache 1.3.12 enthalten Binärdistributionen alle Apache-Standard-
   module als Shared Objects (sofern es von der Plattform unterstützt
   wird) sowie den kompletten Quelltext. Die Installation kann auf einfache
   Weise mit dem beigefügten Installationsskript durchgeführt werden.
   Eine vollständige Erläuterung finden Sie in den Dateien README.bindist
   und INSTALL.bindist. Beachten Sie bitte, dass die Binärdistributionen
   auf freiwilliger Basis angeboten werden und aktuelle Distributionen
   nicht immer für spezielle Plattformen verfügbar sind.
   Win32-Binärdistributionen basieren auf der Microsoft-Installer-
   Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
   fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
   news:comp.infosystems.www.servers.ms-windows gerichtet werden.

   Eine Übersicht der seit 1.2 eingeführten neuen Features finden Sie unter

   http://httpd.apache.org/docs/new_features_1_3.html

   Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen gegenüber
   der Version 1.2, einschliesslich besserer Performance, Zuverlässigkeit
   und Unterstützung von mehr Plattformen, darunter Windows NT und 2000 (die
   unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen mit
   TPF-Thread-Unterstützung.

   Apache ist der am häufigsten verwendete Webserver des bekannten
   Universums. Mehr als die Hälfte aller Server im Internet laufen mit dem
   Apache oder einem seiner Derivate.

   WICHTIGER HINWEIS FÜR APACHE-NUTZER: Der Apache 1.3 wurde für
   Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
   Plattformen (wie zum Beispiel Win32, Netware oder OS2) von akzeptabler
   Qualität sind, ist der Apache 1.3 nicht für diese Plattformen optimiert.
   Sicherheits-, Stabilitäts- und Performanceprobleme zu diesen nicht-Unix-
   Portierungen betreffen aufgrund der Unix-Herkunft der Software im
   Allgemeinen nicht die Unix-Version.

   Der Apache 2.0 wurde durch die Einführung der Apache Portability Library
   und der MPM-Module von Anfang an für mehrere Betriebssysteme konstruiert.
   Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund der
   besseren Performance, Stabilität und Sicherheit auf den Apache 2.0 zu
   wechseln.

               Wesentliche Änderungen des Apache 1.3.33

   Sicherheitslücken

     * CAN-2004-0940 (cve.mitre.org)
       Behebung eines Pufferüberlaufs durch maskierte Zeichen in einem
       SSI-Befehl.
 
     * CAN-2004-0492 (cve.mitre.org)
       Antworten eines entfernten Servers werden abgewiesen, wenn ein
       ungültiger (negativer) Content-Length-Header gesendet wurde.

   Neuerungen

    Neue Funktionen, die sich auf bestimmte Plattformen beziehen:

     * Win32: Verbesserte Fehlermeldung bei einem mißglückten Versuch, einen
       Piped-Log- oder Rewrite-Map-Prozess zu starten. 

    Neue Funktionen für alle Plattformen:

     * Neues Kompilierungs-Flag: UCN_OFF_HONOR_PHYSICAL_PORT.
       Es bestimmt, wie UseCanonicalName Off den Port ermittelt, wenn der
       Client keinen im Host-Header übermittelt hat. Falls zur
       Kompilierung angegeben, verwendet UseCanonicalName Off die physische
       Portnummer, um den kanonischen Namen zu bilden. Wird das Flag nicht
       gesetzt, werden zunächst der aktuelle Port und dann der Standardport
       für das aktuelle Schema versucht.
      
            
   Behobene Fehler

    Die folgenden nennenswerten Fehler wurden im Apache 1.3.31 (oder
    früher) gefunden und im Apache 1.3.33 behoben:

     * mod_rewrite: Die Query-String-Behandlung von Proxy-URLs wurde
       korrigiert. PR 14518.

     * mod_rewrite: Korrektur von 0-Bytes-Schreibzugriffen auf zufällige
       Speicherpositionen. PR 31036.

     * mod_digest: Korrektur der Nonce-Berechnung (seit 1.3.31), die eine
       Re-Authentisierung für jede Verbindung erforderte, wenn der 
       AuthDigestRealmSeed nicht konfiguriert war.  PR 30920.

     * Korrektur eines trivialen Fehlers in mod_log_forensic, der bei 
       Kindprozessen zu Speicherzugriffsverletzungen führte, wenn bestimmte 
       ungültige Anfragen an diesen geschickt wurden, während die forensische
       Protokollierung aktiviert war. PR 29313.

     * mod_dav, Frontpage und andere werden nicht mehr gestört. Korrektur
       eines Patches in 1.3.31, welches die Löschung des Request-Bodies bei
       Anfragen verhinderte, die für Keep-Alive vorgesehen waren, jedoch
       während der Bearbeitung abgebrochen wurden. PR 29237.