Apache软件基金会的Apache HTTP服务器项目已经宣布发行的2.2.22版本的Apache HTTP服务器(“Apache”)。在Apache HTTP项目认为此版本是Apache提供的最好版本,并鼓励所有先前版本的用户升级。
根据版本说明,这个版本的Apache主要是一个安全和错误修复版本,其中包括以下重要的安全修补程序:
•安全性:CVE-2011-3368(cve.mitre.org):拒绝请求,请求URI不符合HTTP规范,防止意外扩大,在一些反向代理服务器配置目标URL。
•安全性:CVE-2011-3607(cve.mitre.org):修复整数溢出在ap_pregsub(),其中的mod_setenvif模块被启用时,可能会允许本地用户可以获得通过htaccess文件的权限。
•安全性:CVE-2011-4317(cve.mitre.org):解析附加的URL改写,与ProxyPassMatch或重写规则,特定请求的URI的地方可能会导致在意外在某些配置中的后台资料泄漏的案件。
•安全性:CVE-2012-0021(cve.mitre.org):mod_log_config:修复段错误(崩溃)的时候'%{cookiename} C“的日志格式字符串是在使用客户端发送一个无名的毫无价值的cookie,导致服务拒绝。版本2.2.17以来存在的问题。
•安全性:CVE-2012-0031(cve.mitre.org):修复的记分牌的问题,这可能会允许非特权子进程可能会导致母公司程序崩溃,而不是在关机时终止干净。
•安全性:CVE-2012-0053(cve.mitre.org):修正了一个错误反应的问题可能会暴露的“httpOnly” cookies时,没有自定义的ErrorDocument指定的状态代码400。
在Apache HTTP项目得益于halfdog,Context Information Security Ltd, Prutha Parikh of Qualys,及 Norman Hippert重视安全团队的这些问题。
Apache HTTP服务器2.2.22已经提供下载。
用户升级或安装此版本的Apache时请谨记,如果你打算使用线程化MPM(比prefork MPM)之一的Apache,你必须确保任何模块,您将使用(及它们所依赖的的库上)是线程安全的。
