home *** CD-ROM | disk | FTP | other *** search
/ PC World Plus! (NZ) 2001 October / PCW1001.iso / Linux / apache / apache_1.3.20-win32-no_src-r2.msi / Data.Cab / F160802_Announcement < prev    next >
Encoding:
Text File  |  2001-05-15  |  6.5 KB  |  132 lines
  1.  
  2.                             Apache 1.3.20 Released
  3.                                        
  4.    The Apache Software Foundation and The Apache Server Project are
  5.    pleased to announce the release of version 1.3.20 of the Apache HTTP
  6.    server.
  7.    
  8.    This version of Apache is principally a security fix release
  9.    addressing a problem which could lead to a directory listing being
  10.    displayed in place of an error message. Also, it fixes some potential
  11.    configuration quirks present in the 1.3.19 release.  A summary of the
  12.    new features is given at the end of this document.
  13.    
  14.    We consider Apache 1.3.20 to be the best version of Apache available
  15.    and we strongly recommend that users of older versions, especially of
  16.    the 1.1.x and 1.2.x family, upgrade as soon as possible.  No further
  17.    releases will be made in the 1.2.x family.
  18.    
  19.    Apache 1.3.20 is available for download from
  20.    
  21.      http://httpd.apache.org/dist/httpd/
  22.      
  23.    Please see the CHANGES_1.3 file in the same directory for a full list
  24.    of changes.
  25.    
  26.    Binary distributions are available from
  27.    
  28.      http://httpd.apache.org/dist/httpd/binaries/
  29.      
  30.    The source and binary distributions are also available via any of the
  31.    mirrors listed at
  32.    
  33.      http://www.apache.org/mirrors/
  34.      
  35.    Apache 1.3.20 for Win32 and OS2 corrects a serious denial of service 
  36.    vulnerability, and users are strongly discouraged from using any 
  37.    previous versions on those platforms.
  38.    
  39.    As of Apache 1.3.17, Win32 binary distributions are now based on the
  40.    Microsoft Installer (.MSI) technology.  This change occured in order
  41.    to resolve the many problems WinME and Win2K users experienced with
  42.    the older InstallShield-based installer .exe file.  While development
  43.    continues to make this new installation method more robust, questions
  44.    should be directed at the news:comp.infosystems.www.servers.ms-windows
  45.    newsgroup.  
  46.  
  47.    As of Apache 1.3.12 binary distributions contain all standard Apache
  48.    modules as shared objects (if supported by the platform) and include
  49.    full source code. Installation is easily done by executing the
  50.    included install script. See the README.bindist and INSTALL.bindist
  51.    files for a complete explanation. Please note that the binary
  52.    distributions are only provided for your convenience and current
  53.    distributions for specific platforms are not always available.
  54.    
  55.    For an overview of new features introduced after 1.2 please see
  56.    
  57.      http://httpd.apache.org/docs/new_features_1_3.html
  58.      
  59.    In general, Apache 1.3 offers several substantial improvements over
  60.    version 1.2, including better performance, reliability and a wider
  61.    range of supported platforms, including Windows 95/98 and NT (which
  62.    fall under the "Win32" label), OS2, Netware, and TPE threaded platforms.
  63.    
  64.    Apache is the most popular web server in the known universe; over half
  65.    of the servers on the Internet are running Apache or one of its
  66.    variants.
  67.    
  68.    IMPORTANT NOTE FOR WIN32 USERS: Over the years, many users have come
  69.    to trust Apache as a secure and stable server. It must be realized
  70.    that the current Win32 code has not yet reached the levels of the Unix
  71.    version, but is of acceptable quality. Any Win32 stability or security
  72.    problems do not impact, in any way, Apache on other platforms.
  73.    
  74.                          Apache 1.3.20  Major changes
  75.  
  76.    The primary security fix is:
  77.      * A carefully constructed URI could cause the server to segfault on
  78.        Win32 and OS2, denying access to users until the error was cleared.
  79.        This is resolved on both platforms, no server data vulnerability
  80.        was identified for this denial of service exploit.
  81.                                             
  82.    The general bug fixes:
  83.      * Eliminate a potential segfault if an invalid floating point value
  84.        is passed to the ap_snprintf() function, on platforms supporting
  85.        isnan() and isinf().
  86.      * Fix a possible segfault at startup in the detection of a default
  87.        ServerName or IP string when no ServerName was specified.
  88.      * Fixed mod_proxy to retain empty headers, as allowed by RFC2068.
  89.      * Properly resolve the location of ndbm on Linux and some glibc2
  90.        builds, where ndbm.h is in the nonstandard db1/ subdir.
  91.  
  92.    Win32 bug fixes:
  93.      * Win32 now properly handles the SSI exec cmd tag.  Due to argument
  94.        parsing issues with spaces and slashes, cmd is interpreted as an 
  95.        executable file, not a long command line string.
  96.      * Resolved a threading problem with WinNT/2K services, allowing
  97.        modules such as mod_jserv and mod_perl to shut down cleanly.
  98.      * Resolved stdin and stdout pipes for the parent Win32 service 
  99.        process, solving bugs such as "dup2(stdin) failed" when trying 
  100.        to use piped logs.  
  101.  
  102.    Netware specific bug fixes:
  103.      * Netware initial screen allows the -s parameter to switch to the 
  104.        system console screen, warning messages during startup are now 
  105.        displayed.
  106.      * Netware added '.' and '..' to the directory listing so mod_autoindex 
  107.        will now display the parent directory.
  108.      * NetWare now shuts down cleanly in error conditions, such as a failure
  109.        while reading the httpd.conf file.
  110.  
  111.    The main new features include:
  112.      * Enhanced rotatelogs to allow a UTC offset to be specified, and
  113.        the format logfile names with human-readable date/time stamps.
  114.      * Added the NOESCAPE (NS) flag to RewriteRule, to disable *all* 
  115.        normal URI escaping.  Note incautious use can give unexpected 
  116.        results or introduce security risks.
  117.      * Added the '\' character to RewriteRule to allow escaping of 
  118.        special characters.  Allows embedding of both the '$' and '%' 
  119.        characters in the results, so 'foo\$1' translates to 'foo$1' 
  120.        rather than 'foo\<value of $1>'.
  121.      * Added the -V flag to suexec, to display the compile-time settings
  122.        with which it was built.  (Only valid for root or the HTTPD_USER 
  123.        username.)          
  124.      * Introduced EBCDIC conversion configuration options, controlling the 
  125.        conversion based on MIME type or file suffix.
  126.      * Support for the Cygwin 1.x platform (a POSIX emulation layer for 
  127.        Win32 systems, see http://www.cygwin.com).  Note this is an entirely
  128.        different implementation than the native calls in the win32 port.
  129.      * Support for building modules with apxs under Win32.  cygwin builders 
  130.        must use a cygwin build of perl to avoid MSVC handling.
  131.  
  132.