Apache HTTP Server 1.3.33 リリース The Apache Software Foundation と The Apache HTTP Server Project は Apache HTTP Server ("Apache") のバージョン 1.3.33 のリリースを 発表致します。本発表は 1.3.31 から 1.3.33 への重要な変更点を 記しています (1.3.32 は正式にはリリースされませんでした)。 本発表の英語、ドイツ語版は http://www.apache.org/dist/httpd/Announcement1.3.txt http://www.apache.org/dist/httpd/Announcement1.3.txt.de から入手できます。 このバージョンの Apache は主にバグ修正とセキュリティの修正のための リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。 すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、 このリリースは二つの潜在的なセキュリティの問題を修正します: o CAN-2004-0940 (cve.mitre.org) SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる バッファオーバーフローを修正。 o CAN-2004-0492 (cve.mitre.org) 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。 Apache 1.3.33 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。 Apache 1.3.33 は以下からダウンロードできます: http://httpd.apache.org/download.cgi このサービスは以下の所にリストされているネットワークを利用します: http://www.apache.org/mirrors/ すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。 Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば) 共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース コードも含まれています。同梱されているインストールスクリプトを 実行することで、簡単にインストールできます。詳しい説明は README.bindist と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の ためだけに提供されているもので、特定のプラットフォームに対する最新の 配布が常に存在するわけではないという点には注意しておいてください。 Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって います。このインストール方法をより頑強なものにするための開発は続いて いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows ニュースグループに (英語で) してください。 1.2 より後に導入された新機能の概要は http://httpd.apache.org/docs/new_features_1_3.html を読んでください。 全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。 これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、 OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い プラットフォームへの対応を含みます。 Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。 インターネットの半数を越えるサーバが Apache かその亜種で運用されています。 Apache ユーザへの重要なお知らせ: Apache 1.3 は Unix 系の OS 向けに設計 されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への 移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに 対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、 安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、 一般には Unix 版にはあてはまりません。 Apache 2.0 は Apache Portability Library と MPM モジュールを導入する ことにより、最初から複数のオペレーティングシステムのために設計されて きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、 セキュリティのために Apache 2.0 に移行することをお薦めします。 Apache 1.3.33 の主な変更 セキュリティ問題 * CAN-2004-0940 (cve.mitre.org) SSI タグの文字列中にある、エスケープされた文字によって引き起こされうる バッファオーバーフローを修正。 * CAN-2004-0492 (cve.mitre.org) 遠隔サーバからの無効な (負の) Content-Length の応答を拒否する。 新機能 特定のプラットフォームに対する新機能: * Win32: パイプによるログプロセスの起動やリライトマッププロセスの起動に 失敗したときのエラー報告の改善。 すべてのプラットフォームに対する新機能 * コンパイル時のフラグに新しく UCN_OFF_HONOR_PHYSICAL_PORT を追加。 クライアントが Host ヘッダでポートの値を提供しなかったときに UseCanonicalName Off でどうやってポートの値を決定するかを制御します。 コンパイル時に定義されていれば、UseCanonicalName Off では 正規の名前を生成するために物理ポート番号を使います。定義されて いなければ、その時点での Port の値と、使われたスキームの デフォルトポートを順に試します。 バグの修正 以下は Apache 1.3.31 (かそれ以前) で見つかって Apache 1.3.33 で修正された 重要なバグです: * mod_rewrite: プロキシされた URL のクエリーストリングの扱いの修正。 PR14518。 * mod_rewrite: メモリのランダムな場所への 0 バイトの書き込みの修正。 PR 31036。 * mod_digest: 1.3.31 からの nonce 文字列の計算を修正。 AuthDigestRealmSeed が設定されていなければ、すべてのコネクションで 再認証をさせられていた。PR 30920。 * Forensic ロギングが有効になっているときに、ある無効なリクエスト を送られると子プロセスがセグメンテーションフォールトを起こす 症状をもたらした mod_log_forensic のささいなバグを修正。PR 29313。 * mod_dav、frontpage やその他のものを動かなくしていたのを修正。 1.3.31 に入った、keepalive になっていないけれど、keepalive される リクエストのボディを無視するという動作を妨げていたパッチを修復。 PR 29237。