Apache HTTP Server 2.2.20 が リリースされました

新しい Apache HTTP Server 2.2.20 がリリースされました。

→ アナウンス

これまでリリースされてきた Apache 1.3/2.x には Byte Range リクエストの処理に問題があり、条件によっては Apache HTTP Server および、それが稼働しているマシンが利用不能になるまで負荷が高まってしまう問題がありました。

mod_headers などを利用した仮の対応策が公開されていましたが、Apache HTTP Server の Byte Range の処理コードそのものに対策が施されましたので、この 2.2.20 や、OS、ディストリビューションから提供される新版に更新することをお勧めします。

Apache HTTP Server 2.2.20 での変更点は以下のとおりです。

• Byte Range リクエストの問題 (CVE-2011-3192)
• mod_authnz_ldap で、LDAP サーバーの constraint violation の応答をエラーではなく「認証に失敗」と扱うようにした。パスワード認証に何度も失敗してロックされた時、LDAP Server によっては constraint violation の応答を返してしまっていることへの対応です
• mod_filter の FilterProvider で、resp= による条件が CGI では動作していなかった問題を修正した
• mod_reqtimeout でタイムアウトした接続が request body を破棄した後で Keep-Alive 状態になってしまった問題を修正した
• hook の並び替えを早い段階で実行するようにして、pre_config hook や設定ファイルの解析時には並び替えられた状態になっているようにした
• mod_deflate において、HEAD リクエストで、Content-Length を決定できないような場合は圧縮処理をしないようにした