home *** CD-ROM | disk | FTP | other *** search
/ Chip 2006 July / CHIP 2006-07.2.iso / program / web_gelistirme / easyphp1-7_setup.exe / {app} / apache / announcement < prev    next >
Encoding:
Text File  |  2002-09-30  |  7.1 KB  |  166 lines
  1.  
  2.                             Apache 1.3.27 Released
  3.  
  4.    The Apache Software Foundation and The Apache Server Project are
  5.    pleased to announce the release of version 1.3.27 of the Apache HTTP
  6.    Server.  This Announcement notes the significant changes in 1.3.27
  7.    as compared to 1.3.26.
  8.  
  9.    This version of Apache is principally a security and bug fix release.
  10.    A summary of the bug fixes is given at the end of this document.
  11.    Of particular note is that 1.3.27 addresses and fixes 3 security
  12.    vulnerabilities.
  13.  
  14.    CAN-2002-0839 (cve.mitre.org): A vulnerability exists in all versions of
  15.    Apache prior to 1.3.27 on platforms using System V shared memory based
  16.    scoreboards.  This vulnerability allows an attacker who can execute under
  17.    the Apache UID to exploit the Apache shared memory scoreboard format and
  18.    send a signal to any process as root or cause a local denial of service
  19.    attack.  We thank iDefense for their responsible notification and 
  20.    disclosure of this issue.
  21.  
  22.    CAN-2002-0840 (cve.mitre.org): Apache is susceptible to a cross site
  23.    scripting vulnerability in the default 404 page of any web server hosted
  24.    on a domain that allows wildcard DNS lookups.  We thank Matthew Murphy for
  25.    the responsible notification and disclosure of this issue.
  26.    
  27.    CAN-2002-0843 (cve.mitre.org): There were some possible overflows in ab.c
  28.    which could be exploited by a malicious server. Note that this
  29.    vulnerability is not in Apache itself, but rather one of the support
  30.    programs bundled with Apache. We thank David Wagner for the responsible
  31.    notification and disclosure of this issue.
  32.  
  33.    We consider Apache 1.3.27 to be the best version of Apache 1.3 available
  34.    and we strongly recommend that users of older versions, especially of
  35.    the 1.1.x and 1.2.x family, upgrade as soon as possible.  No further
  36.    releases will be made in the 1.2.x family.
  37.  
  38.    Apache 1.3.27 is available for download from
  39.    
  40.        http://www.apache.org/dist/httpd/
  41.  
  42.    Please see the CHANGES_1.3 file in the same directory for a full list
  43.    of changes.
  44.  
  45.    Binary distributions are available from
  46.  
  47.        http://www.apache.org/dist/httpd/binaries/
  48.  
  49.    The source and binary distributions are also available via any of the
  50.    mirrors listed at
  51.  
  52.        http://www.apache.org/mirrors/
  53.  
  54.    As of Apache 1.3.12 binary distributions contain all standard Apache
  55.    modules as shared objects (if supported by the platform) and include
  56.    full source code.  Installation is easily done by executing the
  57.    included install script.  See the README.bindist and INSTALL.bindist
  58.    files for a complete explanation.  Please note that the binary
  59.    distributions are only provided for your convenience and current
  60.    distributions for specific platforms are not always available. Win32
  61.    binary distributions are based on the Microsoft Installer (.MSI)
  62.    technology.  While development continues to make this installation method
  63.    more robust, questions should be directed to the
  64.    news:comp.infosystems.www.servers.ms-windows newsgroup.
  65.  
  66.    For an overview of new features introduced after 1.2 please see
  67.    
  68.    http://httpd.apache.org/docs/new_features_1_3.html
  69.  
  70.    In general, Apache 1.3 offers several substantial improvements over
  71.    version 1.2, including better performance, reliability and a wider
  72.    range of supported platforms, including Windows NT and 2000 (which
  73.    fall under the "Win32" label), OS2, Netware, and TPE threaded
  74.    platforms.
  75.  
  76.    Apache is the most popular web server in the known universe; over half
  77.    of the servers on the Internet are running Apache or one of its
  78.    variants.
  79.  
  80.    IMPORTANT NOTE FOR APACHE USERS:   Apache 1.3 was designed for Unix OS
  81.    variants.  While  the ports to non-Unix platforms (such as Win32, Netware
  82.    or OS2) are of an acceptable quality, Apache 1.3 is not optimized for
  83.    these platforms.  Security, stability, or performance issues on these
  84.    non-Unix ports do not generally apply to the Unix version, due to
  85.    software's Unix origin.
  86.  
  87.    Apache 2.0 has been structured for multiple operating systems from its 
  88.    inception, by introducing the Apache Portability Library and MPM modules.
  89.    Users on non-Unix platforms are strongly encouraged to move up to 
  90.    Apache 2.0 for better performance, stability and security on their
  91.    platforms.
  92.  
  93.                      Apache 1.3.27 Major changes
  94.  
  95.   Security vulnerabilities
  96.  
  97.      * Fix the security vulnerability noted in CAN-2002-0839 (cve.mitre.org)
  98.        regarding ownership permissions of System V shared memory based
  99.        scoreboards.  The fix resulted in the new ShmemUIDisUser directive.
  100.  
  101.      * Fix the security vulnerability noted in CAN-2002-0840 (cvs.mitre.org)
  102.        regarding a cross-site scripting vulnerability in the default error
  103.        page when using wildcard DNS.
  104.  
  105.      * Fix the security vulnerability noted in CAN-2002-0843 (cve.mitre.org)
  106.        regarding some possible overflows in ab.c which could be exploited by
  107.        a malicious server.
  108.  
  109.   New features
  110.  
  111.    The main new features in 1.3.27 (compared to 1.3.26) are:
  112.  
  113.      * The new ErrorHeader directive has been added.
  114.  
  115.      * Configuration file globbing can now use simple pattern
  116.        matching.
  117.  
  118.      * The protocol version (eg: HTTP/1.1) in the request line parsing
  119.        is now case insensitive.
  120.  
  121.      * ap_snprintf() can now distinguish between an output which was
  122.        truncated, and an output which exactly filled the buffer.
  123.  
  124.      * Add ProtocolReqCheck directive, which determines if Apache will
  125.        check for a valid protocol string in the request (eg: HTTP/1.1)
  126.        and return HTTP_BAD_REQUEST if not valid. Versions of Apache
  127.        prior to 1.3.26 would silently ignore bad protocol strings, but
  128.        1.3.26 included a more strict check. This makes it runtime
  129.        configurable.
  130.  
  131.      * Added support for Berkeley-DB/4.x to mod_auth_db.
  132.  
  133.      * httpd -V will now also print out the compile time defined
  134.        HARD_SERVER_LIMIT value.
  135.  
  136.    New features that relate to specific platforms:
  137.  
  138.      * Support Caldera OpenUNIX 8.
  139.      
  140.      * Use SysV semaphores by default on OpenBSD.
  141.  
  142.      * Implemented file locking in mod_rewrite for the NetWare
  143.        CLib platform.
  144.  
  145.   Bugs fixed
  146.  
  147.    The following bugs were found in Apache 1.3.26 (or earlier) and have
  148.    been fixed in Apache 1.3.27:
  149.  
  150.      * mod_proxy fixes:
  151.         - The cache in mod_proxy was incorrectly updating the Content-Length
  152.           value from 304 responses when doing validation.
  153.         - Fix a problem in proxy where headers from other modules were
  154.           added to the response headers when this was already done in the
  155.           core already.
  156.  
  157.      * In 1.3.26, a null or all blank Content-Length field would be
  158.        triggered as an error; previous versions would silently ignore
  159.        this and assume 0.  1.3.27 restores this previous behavior.
  160.  
  161.      * Win32: Fix one byte buffer overflow in ap_get_win32_interpreter
  162.        when a CGI script's #! line does not contain a \r or \n (i.e.
  163.        a line feed character) in the first 1023 bytes. The overflow
  164.        is always a '\0' (string termination) character.
  165.  
  166.