Apache HTTP Server 1.3.30 リリース The Apache Software Foundation と The Apache HTTP Server Project は Apache HTTP Server ("Apache") のバージョン 1.3.30 のリリースを 発表できることを喜ばしく思います。この発表は 1.3.29 から 1.3.30 への重要な変更を記しています。この発表は英語とドイツ語でもなされており、 それぞれ http://www.apache.org/dist/httpd/Announcement.html と http://www.apache.org/dist/httpd/Announcement.html.de から手に入れる ことができます。 このバージョンの Apache は主にバグ修正とセキュリティの修正のための リリースとなります。バグ修正の部分的な一覧はこの文書の最後にあります。 すべての変更の一覧は CHANGES ファイルを見てください。特筆すべき点として、 このリリースは三つの潜在的なセキュリティの問題を修正します: o CAN-2003-0020 (cve.mitre.org) 任意のデータがエラーログに書かれる前にエスケープする。 o CAN-2004-0174 (cve.mitre.org) リッスン中のソケットにおける資源枯渇問題を修正。 これは、まれにしかアクセスされないリッスン中のソケットが子プロセスが accept mutex を保持したままにして、そのまれにしかにアクセスされない ソケットに別のコネクションが来るまで他のプロセスをブロックするという もの。 o CAN-2003-0993 (cve.mitre.org) Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。 この問題はビッグエンディアンの 64-bit プラットフォームにしか 影響しない。 Apache 1.3.30 は Apache 1.3 の中で一番良いバージョンです。古いバージョンの ユーザ、特に 1.1.x と 1.2.x 系列のユーザは可能な限り早くアップグレードする ことをお薦めします。1.2.x 系列が新しくリリースされることはありません。 Apache 1.3.30 は以下からダウンロードできます: http://httpd.apache.org/download.cgi このサービスは以下の所にリストされているネットワークを利用します: http://www.apache.org/mirrors/ すべての変更を知りたい場合は CHANGES_1.3 を見てください。 Apache 1.3.12 から、バイナリ配布は (プラットフォームがサポートしていれば) 共有オブジェクトとしてすべての標準モジュールを含んでおり、すべてのソース コードも含んできます。インストールはその中にあるインストールスクリプトを 実行することで簡単に行なうことができあます。詳しい説明は README.bindist と INSTALL.bindist を読んでください。バイナリ配布はユーザの利便性の ためだけに提供されているもので、特定のプラットフォームに対する最新の 配布が常に存在するわけではないという点には注意しておいてください。 Win32 バイナリ配布は Microsoft Installer (.MSI) に基づいたものになって います。このインストール方法をより頑強なものにするための開発は続いて いますが、質問はすべて news:comp.infosystems.www.servers.ms-windows ニュースグループに (英語で) してください。 1.2 より後の導入された新機能の概要は http://httpd.apache.org/docs/new_features_1_3.html を読んでください。 全般的に、Apache 1.3 はバージョン 1.2 からいくつかの大きな改善をもたらします。 これは、より良い性能、信頼性、Windows NT と 2000 ("Win32" に含まれる)、 OS2, Netware, TPF のスレッド対応プラットフォームを含む、より多い サポートプラットフォームを含みます。 Apache は既知の世界中で最も人気のあるウェブサーバです。インターネットの 半数を越えるサーバが Apache かその亜種を実行しています。 Apache ユーザへの重要な通知: Apache 1.3 は Unix 系の OS のために設計 されました。Unix 以外のプラットフォーム (Win32 や Netware、OS2) への 移植は許容できる品質ですが、Apache 1.3 はそれらのプラットフォームに 対して最適化はなされていません。これらの Unix 以外の移植版でのセキュリティ、 安定性や性能の問題はこのソフトウェアが Unix を主としたものであることから、 一般には Unix 版にはあてはまりません。 Apache 2.0 は Apache Portability Library と MPM モジュールを導入する ことにより、最初から複数のオペレーティングシステムのために設計されて きました。Unix 以外のプラットフォームのユーザはより良い性能と安定性、 セキュリティのために Apache 2.0 に移行することをお薦めします。 Apache 1.3.30 の主な変更 セキュリティ問題 * CAN-2003-0020 (cve.mitre.org) 任意のデータがエラーログに書かれる前にエスケープする。 * CAN-2004-0174 (cve.mitre.org) リッスン中のソケットにおける資源枯渇問題を修正。 これは、まれにしかアクセスされないリッスン中のソケットが子プロセスが accept mutex を保持したままにして、そのまれにしかアクセスされない ソケットに別のコネクションが来るまで他のプロセスをブロックするという もの。 * CAN-2003-0993 (cve.mitre.org) Allow/Deny ルールでのネットマスクなしの IP アドレスのパースを修正。 この問題はビッグエンディアンの 64-bit プラットフォームにしか 影響しない。 新機能 特定のプラットフォームに対する新機能: * Linux 2.4+: Apache が root ユーザで起動されて、CoreDumpDirectory が 指定されている場合は、prctl() システムコールによりコアダンプを 有効にします。 すべてのプラットフォームに対する新機能 * 子プロセスがクラッシュした後の診断情報を得るための mod_whatkilledus と mod_backtrace モジュール (実験的) を追加。 * クラッシュ後の診断コード用の致命例外フック (fatal exception hook) の 追加。 * Forensic ログモジュールの追加 (mod_log_forensic) * LogFormat ディレクティブで '%x' を '%c' の別名として扱うように変更。 これにより、mod_ssl を使用していてもログ収集の設定で接続ステータスを ログ収集できるようになる。 バグの修正 以下は Apache 1.3.29 (かそれ以前) で見つかって Apache 1.3.30 で修正された 重要なバグです: * ap_custom_response() 関数によるメモリ破壊問題を修正。 コアの per-dir config が後で、違うリクエストの違う目的のために 再利用されるリクエストプールデータを指していた。 * mod_usertrack はクッキーの名前のためにもう Cookie2 ヘッダを 調べない。また、他のクッキーを上書きすることもなくなった。 * CookieName を直接指定せずに CookieTracking を使ったときに コアダンプするバグを修正。 * UseCanonicalName off がクライアントが提供していたポート情報 を無視していた。