O tym, że Apache 1.3.20 nie będzie ostatnim wcieleniem serwera z serii 1.3 wiadomo było już od jakiegoś czasu. Jednak dopiero niedawno, po nałożeniu sporej ilości łat zdecydowano się na T&R (Tag & Roll). Pech chciał, że w gotowym już tarballu Apache’a 1.3.21 wykryto kilka usterek które zostały uznane za istotne, co spowodowało oznaczenie go jako 'Not Released’. W chwili obecnej poprawiony tarball 1.3.22 jest intensywnie testowany i jak dotąd nikt nie stwierdził żadnych nieprawidłowości, toteż można spodziewać się oficjalnej informacji i ostatecznego tarball’a najpóźniej za dwa dni (o ile oczywiście ktoś 'czegoś’ nie zauważy :).
Z listy wprowadzonych zmian pozwoliłem sobie wybrać te (przynajmniej moim zdaniem 🙂 istotniejsze:
- Jeżeli w systemie jest zainstalowana jest biblioteka expat, to jest używana zamiast tej która znajduje się w tarball’u Apache’a,
- Bezpieczeństwo. Zlikwidowano problem związany z listowaniem zawartości katalogu (zamiast oczekiwanego index.html/index.php) który ma włączone
multiviewsorazautoindex. Aby osiągnąć taki efekt wystarczyło przesłać URL:/?M=Ddo właściwego katalogu na serwerze (bugtraq id 3009), - Usunięto błąd przy którym serwer którego
ErrorDocument 404wskazywał na plik SSI, który zawierał dyrektywę#include, a niewłaściwy URL zawierał%2f– robił segfault, - Poprawki w module
mod_auth. Dyrektywarequireakceptuje teraz dwa dodatkowe argumenty:file-ownerorazfile-group. Dzięki czemu przy próbie dostępu do tak chronionego pliku trzeba będzie wklepać nazwę użytkownika który jest właścicielem pobieranego pliku, oraz odpowiadające mu wAuthUserFilehasło. - Nowa dyrektywa
AcceptMutex, która robi to samo co odpowiedni define z kompilacji, ale zmiana Mutex’a nie wymaga już rekompilacji serwera, - usunięto możliwość pobierania plików .ht (np.:
.htaccess,.htpasswd) mimo odpowiedniej sekcjiFiles ~ "^.ht">, co było możliwe dla katalogów objętych działaniem dyrektywySatisfy Any
Archiwalny news dodany przez użytkownika: elczupi.
Kliknij tutaj by zobaczyć archiwalne komentarze.