Apache HTTP Server 1.3.31 リリース The Apache Software Foundation と The Apache HTTP Server Project は Apache HTTP Server ("Apache") のバージョン 1.3.31 のリリースを 発表致します。本発表は 1.3.29 から 1.3.31 (1.3.30 はリリースされません でした) への重要な変更点を記しています。本発表の英語、ドイツ語、 スペイン語版は http://www.apache.org/dist/httpd/Announcement.html http://www.apache.org/dist/httpd/Announcement.html.de http://www.apache.org/dist/httpd/Announcement.html.es から入手できます。 このバージョンの Apache は主にバグ修正とセキュリティの修正のための リリースとなります。バグ修正の要約の一部はこの文書の末尾に掲載されています。 すべての変更点の一覧は CHANGES ファイルを見てください。特に注意すべき点として、 このリリースは四つの潜在的なセキュリティの問題を修正します: o CAN-2003-0987 (cve.mitre.org) mod_digest で、クライアントからの応答にある nonce がサーバ自身が 発行したものであることを検証する。この問題は mod_auth_digest には 存在しない。 o CAN-2003-0020 (cve.mitre.org) 任意のデータがエラーログに書かれる前にエスケープする。 o CAN-2004-0174 (cve.mitre.org) リッスン中のソケットにおける資源枯渇問題を修正。 これは、まれにしかアクセスされないリッスン中のソケットが子プロセスの accept mutex (排他処理機構) を保持したままにし、そのまれにしか アクセスされないソケットに別のコネクションが来るまで、 新規コネクションをブロックするというもの。この問題は Solaris, AIX, IRIX など、特定のプラットフォームにだけ影響する。Linux は問題無い。 o CAN-2003-0993 (cve.mitre.org) Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。 この問題はビッグエンディアンの 64-bit プラットフォームにしか 影響しない。 Apache 1.3.31 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする ことを強くお薦めします。1.2.x 系列が新しくリリースされることはありません。 Apache 1.3.31 は以下からダウンロードできます: http://httpd.apache.org/download.cgi このサービスは以下の所にリストされているネットワークを利用します: http://www.apache.org/mirrors/ すべての変更点を知りたい場合は CHANGES_1.3 をご覧ください。 Apache 1.3.12 からバイナリ配布は、 (プラットフォームがサポートしていれば) 共有オブジェクトとしてすべての標準モジュールを含んでおり、かつ全ソース コードも含まれています。同梱されているインストールスクリプトを 実行することで、簡単にインストールできます。詳しい説明は README.bindist と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の ためだけに提供されているもので、特定のプラットフォームに対する最新の 配布が常に存在するわけではないという点には注意しておいてください。 Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって います。このインストール方法をより頑強なものにするための開発は続いて いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows ニュースグループに (英語で) してください。 1.2 より後に導入された新機能の概要は http://httpd.apache.org/docs/new_features_1_3.html を読んでください。 全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。 これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、 OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い プラットフォームへの対応を含みます。 Apache は知りうるかぎり、世界で最も人気のあるウェブサーバです。 インターネットの半数を越えるサーバが Apache かその亜種で運用されています。 Apache ユーザへの重要なお知らせ: Apache 1.3 は Unix 系の OS 向けに設計 されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への 移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに 対しての最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、 安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、 一般には Unix 版にはあてはまりません。 Apache 2.0 は Apache Portability Library と MPM モジュールを導入する ことにより、最初から複数のオペレーティングシステムのために設計されて きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、 セキュリティのために Apache 2.0 に移行することをお薦めします。 Apache 1.3.31 の主な変更 セキュリティ問題 * CAN-2003-0987 (cve.mitre.org) mod_digest で、クライアントからの応答にある nonce がサーバ自身が 発行したものであることを検証する。この問題は mod_auth_digest には 存在しない。 * CAN-2003-0020 (cve.mitre.org) 任意のデータがエラーログに書かれる前にエスケープする。 * CAN-2004-0174 (cve.mitre.org) リッスン中のソケットにおける資源枯渇問題を修正。 これは、まれにしかアクセスされないリッスン中のソケットが子プロセスの accept mutex (排他処理機構) を保持したままにし、そのまれにしか アクセスされないソケットに別のコネクションが来るまで、 新規コネクションをブロックするというもの。 * CAN-2003-0993 (cve.mitre.org) Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。 この問題はビッグエンディアンの 64-bit プラットフォームにしか 影響しない。 新機能 特定のプラットフォームに対する新機能: * Linux 2.4+: Apache が root ユーザで起動されて、CoreDumpDirectory が 指定されている場合は、prctl() システムコールによりコアダンプが 有効になる。 すべてのプラットフォームに対する新機能 * 子プロセスがクラッシュした後の診断情報を得るための mod_whatkilledus と mod_backtrace モジュール (実験的) を追加。 * クラッシュ後の実行時診断コード用の致命例外フック (fatal exception hook) の 追加。 * Forensic ログモジュールの追加 (mod_log_forensic) * LogFormat ディレクティブで '%X' を '%c' の別名として扱うように変更。 これにより、mod_ssl を使用していてもログ収集の設定で接続ステータスを ログ収集できるようになる。 バグの修正 以下は Apache 1.3.29 (かそれ以前) で見つかって Apache 1.3.31 で修正された 重要なバグです: * ap_custom_response() 関数によるメモリ破壊問題を修正。 コアの per-dir config が後で、違うリクエストの違う目的のために 再利用されるリクエストプールデータを指していた。 * mod_usertrack はクッキーの名前のために Cookie2 ヘッダを 調べることはしなくなった。他のクッキーを上書きすることもなくなった。 * CookieName を直接指定せずに CookieTracking を使ったときに コアダンプするバグを修正。 * UseCanonicalName off がクライアントが提供していたポート情報 を無視していた。