Apache HTTP Server 2.2.16 が リリースされました
Apache HTTP Server の 2.2.16 がリリースされました。セキュリティ上の問題 (CVE-2010-1452, CVE-2010-2068) などが修正されています。
2.2.16 のリリースでのセキュリティ上の変更点は以下のとおりです。
-
mod_dav および mod_cache での path の無いリクエストに関する問題 (CVE-2010-1452)
-
mod_proxy_ajp, mod_proxy_http, mod_reqtimeout の Windows, NetWare, OS2 でのタイムアウト処理に関する問題 (CVE-2010-2068)
関連情報: JVNDB-2010-001644 Apache HTTP Server の mod_proxy_http における、重要なレスポンスを取得される脆弱性
その他の修正点は以下のとおり。
-
core モジュールが filter init をハンドラの起動前にリクエスト毎に一回だけ起動するようにし、コネクションフィルタに対しては実行されないようにした (PR 49328)
-
mod_filter が 200 以外のレスポンスに対しても動作するようになった (PR 48377)
-
mod_ldap のディレクティブが VirtualHost コンテキストで使われてる場合にキャッシュ処理をしないようにした (また、 ldap-status ハンドラがタイトルページのみを返すようにした)
-
mod_ssl が、複数の仮想ホスト間で、proxy しているサーバに対するクライアント認証 (SSLProxyMachineCertificateFile) が共有されている場合、segfault を起こすのを修正した (PR 39915)
-
mod_proxy_http がリモートサーバのポート番号をログに出力するようにした (PR 48812)
-
apxs の -A と -a オプションが httpd.conf 中の空白を無視するよう修正した
-
mod_dir に FallbackResource ディレクティブが追加されました。URL のマッピングがどのファイルにも対応しない場合に 404 Not Found を返す代わりのアクションを管理者が指定できます (PR 47184)
-
mod_rewrite において、明示的に値を指定しなくても環境変数をセットできるようになりました
参考リンク
