Die Apache Software Foundation und das Apache Server Projekt hat kürzlich die Freigabe der Version 1.3.28 des Apache HTTP Servers ("Apache") bekannt gegeben. Diese Version des Apache ist vornehmlich ein Bug-Fix- und Sicherheits- Update. Eine kurze Zusammenfassung der Bug-Fixes ist am Ende des unter dem Link dieser Newsmeldung referenzierten Dokumentes aufgeführt. Die vollständige Liste der Änderungen ist in der CHANGES-Datei zu finden.
Apache 1.3.28 behebt insbesondere 3 Sicherheitslücken.
CAN-2003-0460 (cve.mitre.org): Korrektur des Hilfsprogramms rotatelogs unter Win32 und OS/2, um den Empfang spezieller Steuerzeichen über die Pipe zu ignorieren. Zuvor konnten derartige Zeichen die Protokollierung und rotatelogs beenden. Wir danken dem Hitachi Incident Response Team für ihre verantwortungsbewusste Offenlegung des Problems.
VU#379828 : Der Server konnte abstürzen, falls er durch zu viele aufeinanderfolgende interne Umleitungen oder verschachtelte Unteranfragen in eine Endlosschleife geriet.
Lecks diverser Dateideskriptoren zu Kindprozessen, wie zum Beispiel CGI-Skripten, wurden eliminiert.
Die Veröffentlicher betrachten Version 1.3.28 als die beste verfügbare Version des Apache 1.3 und wir empfiehlt Benutzern älterer Versionen, insbesondere der Familien 1.1.x und 1.2.x, umgehend die Aufrüstung. Für die 1.2.x-Familie werden keine weiteren Releases mehr erstellt.
Apache 1.3.28 steht unter
http://httpd.apache.org/download.cgi
http://www.apache.org/dist/httpd/
zum Download bereit.
