停滞将近三年后,Apache 2.0系列发布最后的更新版本
创始人
2024-03-01 11:05:37
0次
昨天,Apache发布了其2.0系列的最后一个新版本,这距2010/10/18上一次更新2.0.64后,将近三年没发布新的版本了。
这次更新,将是2.0系列最后一次错误和安全漏洞的更新。更新虽然包括了很多错误和安全漏洞的修正,但是并没有完全解决当前的2.4和旧的2.2中发现的全部问题。
本次更新建议所有还在使用2.0系列Apache的用户都更新,或者,建议升级到2.4。
主要的更新内容如下:
- CVE-2013-1862: mod_rewrite: 确保客户端写入RewriteLog的数据被正确转义,防止直接放入终端转义码。
- CVE-2012-0053: 修正了当没有定制的400错误页面时,对httpOnly的cookie的处理。
- CVE-2012-0031: 修正了计分板错误,它会导致关机时无特权子进程终止导致父进程崩溃的问题。
- CVE-2011-3368: 拒绝不符合HTTP规范的请求,以防止一些特定的反向代理带来的问题。
- CVE-2011-3192: core: 修正断点请求的处理以使用更少内存。如果请求的字节范围超过了原文件大小,忽略范围参数,直接发送完整的文件。
- CVE-2011-3607: 修正 ap_pregsub() 中的整形溢出,当激活 mod_setenvif 时,它可能会导致本地用户通过.htaccess获取到权限。
注意:使用精心构造的.htaccess文件仍然有可能耗尽所有内存,这个问题不会在2.0中得到解决。允许root处理不可信用户的.htaccess本身就是一种安全风险。建议升级到2.2.25及更高版本解决这个问题。
通过下述链接下载:http://httpd.apache.org/download.cgi
完整的修正内容参见: http://www.apache.org/dist/httpd/CHANGES_2.0
安全漏洞方面说明:http://httpd.apache.org/security/vulnerabilities_20.html
相关内容
热门资讯
Helix:高级 Linux ...
说到 基于终端的文本编辑器,通常 Vim、Emacs 和 Nano 受到了关注。这并不意味着没有其他...
使用 KRAWL 扫描 Kub...
用 KRAWL 脚本来识别 Kubernetes Pod 和容器中的错误。当你使用 Kubernet...
JStock:Linux 上不...
如果你在股票市场做投资,那么你可能非常清楚投资组合管理计划有多重要。管理投资组合的目标是依据你能承受...
通过 SaltStack 管理...
我在搜索Puppet的替代品时,偶然间碰到了Salt。我喜欢puppet,但是我又爱上Salt了:)...
Epic 游戏商店现在可在 S...
现在可以在 Steam Deck 上运行 Epic 游戏商店了,几乎无懈可击! 但是,它是非官方的。...
《Apex 英雄》正式可在 S...
《Apex 英雄》现已通过 Steam Deck 验证,这使其成为支持 Linux 的顶级多人游戏之...
如何在 Github 上创建一...
学习如何复刻一个仓库,进行更改,并要求维护人员审查并合并它。你知道如何使用 git 了,你有一个 G...
2024 开年,LLUG 和你...
Hi,Linuxer,2024 新年伊始,不知道你是否已经准备好迎接新的一年~ 2024 年,Lin...
什么是 KDE Connect...
什么是 KDE Connect?它的主要特性是什么?它应该如何安装?本文提供了基本的使用指南。科技日...
Opera 浏览器内置的 VP...
昨天我们报道过 Opera 浏览器内置了 VPN 服务,用户打开它可以防止他们的在线活动被窥视。不过...