O tym, że Apache 1.3.20 nie będzie ostatnim wcieleniem serwera z serii 1.3 wiadomo było już od jakiegoś czasu. Jednak dopiero niedawno, po nałożeniu sporej ilości łat zdecydowano się na T&R (Tag & Roll). Pech chciał, że w gotowym już tarballu Apache’a 1.3.21 wykryto kilka usterek które zostały uznane za istotne, co spowodowało oznaczenie go jako ‚Not Released’. W chwili obecnej poprawiony tarball 1.3.22 jest intensywnie testowany i jak dotąd nikt nie stwierdził żadnych nieprawidłowości, toteż można spodziewać się oficjalnej informacji i ostatecznego tarball’a najpóźniej za dwa dni (o ile oczywiście ktoś ‚czegoś’ nie zauważy :).

Z listy wprowadzonych zmian pozwoliłem sobie wybrać te (przynajmniej moim zdaniem :) istotniejsze:

  • Jeżeli w systemie jest zainstalowana jest biblioteka expat, to jest używana zamiast tej która znajduje się w tarball’u Apache’a,
  • Bezpieczeństwo. Zlikwidowano problem związany z listowaniem zawartości katalogu (zamiast oczekiwanego index.html/index.php) który ma włączone multiviews oraz autoindex. Aby osiągnąć taki efekt wystarczyło przesłać URL: /?M=D do właściwego katalogu na serwerze (bugtraq id 3009),
  • Usunięto błąd przy którym serwer którego ErrorDocument 404 wskazywał na plik SSI, który zawierał dyrektywę #include, a niewłaściwy URL zawierał %2f – robił segfault,
  • Poprawki w module mod_auth. Dyrektywa require akceptuje teraz dwa dodatkowe argumenty: file-owner oraz file-group. Dzięki czemu przy próbie dostępu do tak chronionego pliku trzeba będzie wklepać nazwę użytkownika który jest właścicielem pobieranego pliku, oraz odpowiadające mu w AuthUserFile hasło.
  • Nowa dyrektywa AcceptMutex, która robi to samo co odpowiedni define z kompilacji, ale zmiana Mutex’a nie wymaga już rekompilacji serwera,
  • usunięto możliwość pobierania plików .ht (np.: .htaccess, .htpasswd) mimo odpowiedniej sekcji Files ~ "^.ht">, co było możliwe dla katalogów objętych działaniem dyrektywy Satisfy Any

Archiwalny news dodany przez użytkownika: elczupi.
Kliknij tutaj by zobaczyć archiwalne komentarze.

Share →