You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Jim Jagielski <ji...@apache.org> on 2003/07/18 15:31:54 UTC
Apache HTTP Server 1.3.28 freigegeben
Apache HTTP Server 1.3.28 freigegeben
Wir, die Apache Software Foundation und das Apache Server Projekt,
freuen
uns, die Freigabe der Version 1.3.28 des Apache HTTP Servers
("Apache")
bekannt zu geben. Diese Ank¸ndigung f¸hrt die wesentlichen
ƒnderungen von
1.3.28 gegen¸ber 1.3.27 auf. Die Ank¸ndigung ist auch in englischer
Sprache
unter http://www.apache.org/dist/httpd/Announcement.txt verf¸gbar.
Diese Version des Apache ist vornehmlich ein Bug-Fix- und
Sicherheits-
Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des
Dokumentes
aufgef¸hrt. Die vollst‰ndige Liste der ƒnderungen ist in der CHANGES-
Datei zu finden. Apache 1.3.28 behebt insbesondere 3
Sicherheitsl¸cken.
o CAN-2003-0460 (cve.mitre.org): Korrektur des Hilfsprogramms
rotatelogs
unter Win32 und OS/2, um den Empfang spezieller Steuerzeichen
¸ber die
Pipe zu ignorieren. Zuvor konnten derartige Zeichen die
Protokollierung
und rotatelogs beenden. Wir danken dem Hitachi Incident Response
Team
f¸r ihre verantwortungsbewusste Offenlegung des Problems.
o VU#379828 : Der Server konnte abst¸rzen, falls er durch zu viele
aufeinanderfolgende interne Umleitungen oder verschachtelte
Unteranfragen in eine Endlosschleife geriet.
o Lecks diverser Dateideskriptoren zu Kindprozessen, wie zum
Beispiel
CGI-Skripten, wurden eliminiert.
Wir betrachten den Apache 1.3.28 als die beste verf¸gbare Version des
Apache 1.3 und wir empfehlen Benutzern ‰lterer Versionen,
insbesondere
der Familien 1.1.x und 1.2.x, umgehend die Aufr¸stung. F¸r die 1.2.x-
Familie werden keine weiteren Releases mehr erstellt.
Apache 1.3.28 steht unter
http://httpd.apache.org/download.cgi
- oder -
http://www.apache.org/dist/httpd/
zum Download bereit.
F¸r eine vollst‰ndige Liste der ƒnderungen lesen Sie bitte die Datei
CHANGES_1.3 im gleichen Verzeichnis.
Bin‰rdistributionen sind verf¸gbar unter
http://www.apache.org/dist/httpd/binaries/
Die Quelltexte und Bin‰rdistributionen sind ebenso ¸ber jeden unter
http://www.apache.org/mirrors/
aufgef¸hrten Mirror erh‰ltlich.
Seit Apache 1.3.12 enthalten Bin‰rdistributionen alle
Apache-Standard-
module als Shared Objects (sofern es von der Plattform unterst¸tzt
wird) sowie den kompletten Quelltext. Die Installation kann auf
einfache
Weise mit dem beigef¸gten Installationsskript durchgef¸hrt werden.
Eine vollst‰ndige Erl‰uterung finden Sie in den Dateien
README.bindist
und INSTALL.bindist. Beachten Sie bitte, dass die Bin‰rdistributionen
auf freiwilliger Basis angeboten werden und aktuelle Distributionen
nicht immer f¸r spezielle Plattformen verf¸gbar sind.
Win32-Bin‰rdistributionen basieren auf der Microsoft-Installer-
Technologie (.MSI). Obwohl die Entwickler diese Installationsmethode
fortlaufend stabilisieren, sollten Fragen dazu an die Newsgroup
news:comp.infosystems.www.servers.ms-windows gerichtet werden.
Eine ‹bersicht der seit 1.2 eingef¸hrten neuen Features finden Sie
unter
http://httpd.apache.org/docs/new_features_1_3.html
Ganz allgemein bietet der Apache 1.3 wesentliche Verbesserungen
gegen¸ber
der Version 1.2, einschliesslich besserer Performance,
Zuverl‰ssigkeit
und Unterst¸tzung von mehr Plattformen, darunter Windows NT und 2000
(die
unter die Bezeichnung "Win32" fallen), OS2, Netware und Plattformen
mit
TPF-Thread-Unterst¸tzung.
Apache ist der am h‰ufigsten verwendete Webserver des bekannten
Universums. Mehr als die H‰lfte aller Server im Internet laufen mit
dem
Apache oder einem seiner Derivate.
WICHTIGER HINWEIS F‹R APACHE-NUTZER: Der Apache 1.3 wurde f¸r
Unix-Systeme entwickelt. Obwohl die Portierungen auf nicht-Unix-
Plattformen (wie zum Beispiel Win32, Netware oder OS2) von
akzeptabler
Qualit‰t sind, ist der Apache 1.3 nicht f¸r diese Plattformen
optimiert.
Sicherheits-, Stabilit‰ts- und Performanceprobleme zu diesen
nicht-Unix-
Portierungen betreffen aufgrund der Unix-Herkunft der Software im
Allgemeinen nicht die Unix-Version.
Der Apache 2.0 wurde durch die Einf¸hrung der Apache Portability
Library
und MPM-Module von Anfang an f¸r mehrere Betriebssysteme konstruiert.
Nutzer von nicht-Unix-Plattformen sind dringend angehalten, aufgrund
der
besseren Performance, Stabilit‰t und Sicherheit auf den Apache 2.0 zu
wechseln.
Wesentliche ƒnderungen des Apache 1.3.28
Sicherheitsl¸cken
* CAN-2003-0460 (cve.mitre.org): Korrektur des Hilfsprogramms
rotatelogs
unter Win32 und OS/2, um den Empfang spezieller Steuerzeichen
¸ber
die Pipe zu ignorieren. Zuvor konnten derartige Zeichen die
Protokollierung und rotatelogs beenden. Wir danken dem Hitachi
Incident Response Team f¸r ihre verantwortungsbewusste
Offenlegung
des Problems.
* VU#379828 : Der Server konnte abst¸rzen, falls er durch zu viele
aufeinanderfolgende interne Umleitungen oder verschachtelte
Unteranfragen in eine Endlosschleife geriet.
* Lecks diverser Dateideskriptoren zu Kindprozessen, wie zum
Beispiel
CGI-Skripten, wurden eliminiert.
Neue Features
Die wichtigsten neuen Features im 1.3.28 (gegen¸ber 1.3.27) sind:
* Die neu hinzugef¸gte API-Funktion ap_register_cleanup_ex()
erlaubt
einer "magischen" S‰uberungsfunktion, bereits w‰hrend der
Registrierung zu laufen, anstatt w‰hrend der Aufr‰umphase.
* Verbesserungen an mod_usertrack erlauben sowohl die regul‰re
(langatmige) wie auch die "kompakte" Version des
Cookies-Trackings
(die neue 'CookieFormat'-Direktive) und ermˆglichen es, dem
Cookie
mittels der Direktive 'CookiePrefix' eine Zeichenkette
voranzustellen.
Neue Features, die sich auf bestimmte Plattformen beziehen:
* Einf¸hrung von Win32-.pdb-Diagnosesymbolen in den
Apache-1.3-Build
(wie auch sie seit Apache 2.0.45 erstellt werden), welche das
Debuggen
und Analysieren von Dumps und Dr.-Watson-Protokolldateien
vereinfacht.
* AIX: ƒnderung des voreingestellten Accept-Mutex-Mechanismus von
pthread zur¸ck zu fcntl.
Behobene Fehler
Die folgenden nennenswerten Fehler wurden im Apache 1.3.27 (oder
fr¸her) gefunden und im Apache 1.3.28 behoben:
* Bevor die Hooks zum Beenden eines Kindprozesses und
Aufr‰umfunktionen
aufgerufen werden, wird sichergestellt, dass der Accept-Mutex
freigegeben wird.
* Die Behandlung absoluter URIs in mod_rewrite wurde korrigiert.
Die
Escape-Routinen arbeiten jetzt schemenabh‰ngig und der
Query-String
wird nur angeh‰ngt, wenn er von dem jeweiligen Schema unterst¸tzt
wird.
* Extrem lange Pr‰zisionsangaben in ap_vformatter sprengen keinen
Puffer mehr.
* Der Timeout-Algorithmus in free_proc_chain wurde aktualisiert.
Wenn
ein Subprozess nicht unverz¸glich endete, hat der Thread 3
Sekunden gewartet, bevor er den Exit-Status des Subprozesses noch
einmal gepr¸ft hat. Normalerweise, wenn es sich bei dem
Subprozess
um ein CGI-Skript des HTTP-Servers handelte, endete das
CGI-Skript im
Bruchteil einer Sekunde innerhalb der 3-Sekunden-Wartezeit, was
den
Server letztendlich darauf begrenzte, ¸ber eine persistente
Verbindung nur eine CGI-Anfrage alle 3 Sekunden zu bedienen.
--
=======================================================================
Jim Jagielski [|] jim@jaguNET.com [|] http://www.jaguNET.com/
"A society that will trade a little liberty for a little order
will lose both and deserve neither" - T.Jefferson
--------------------------------------------------------------------------
Apache HTTP Server Mailing List "users-de"
unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------