Apache軟件基金會的Apache HTTP服務器項目已經宣布發行的2.2.22版本的Apache HTTP服務器(“Apache”)。在Apache HTTP項目認為此版本是Apache提供的最好版本,并鼓勵所有先前版本的用戶升級。
根據版本說明,這個版本的Apache主要是一個安全和錯誤修復版本,其中包括以下重要的安全修補程序:
安全性:CVE-2011-3368(cve.mitre.org):拒絕請求,請求URI不符合HTTP規范,防止意外擴大,在一些反向代理服務器配置目標URL。
安全性:CVE-2011-3607(cve.mitre.org):修復整數溢出在ap_pregsub(),其中的mod_setenvif模塊被啟用時,可能會允許本地用戶可以獲得通過htaccess文件的權限。
安全性:CVE-2011-4317(cve.mitre.org):解析附加的URL改寫,與ProxyPassMatch或重寫規則,特定請求的URI的地方可能會導致在意外在某些配置中的后臺資料泄漏的案件。
安全性:CVE-2012-0021(cve.mitre.org):mod_log_config:修復段錯誤(崩潰)的時候‘% {cookiename} C“的日志格式字符串是在使用客戶端發送一個無名的毫無價值的cookie,導致服務拒絕。版本2.2.17以來存在的問題。
安全性:CVE-2012-0031(cve.mitre.org):修復的記分牌的問題,這可能會允許非特權子進程可能會導致母公司程序崩潰,而不是在關機時終止干凈。
安全性:CVE-2012-0053(cve.mitre.org):修正了一個錯誤反應的問題可能會暴露的”httpOnly“ cookies時,沒有自定義的ErrorDocument指定的狀態代碼400。
在Apache HTTP項目得益于halfdog,Context Information Security Ltd, Prutha Parikh of Qualys,及 Norman Hippert重視安全團隊的這些問題。
Apache HTTP服務器2.2.22已經提供下載。
用戶升級或安裝此版本的Apache時請謹記,如果你打算使用線程化MPM(比prefork MPM)之一的Apache,你必須確保任何模塊,您將使用(及它們所依賴的的庫上)是線程安全的。
京公網安備 11010502049343號