Apache1.3.22主要改進及修正

2024-08-27 18:25:38

字體：大中小

來源：轉載

供稿：網友

Apache 1.3.20 - 1.3.22主要改進：
安全弱點：
1。在Apache1.3.20的win32平臺上發現了一個漏洞。如果客戶端發送一個非常長的URI可能導致用目錄列表來代替缺省主頁。403 Forbidden將被返回。CAN-2001-0729
2。在split-logfile支持程序中發現了一個漏洞。用特別的Host:頭標發送的請求可能會允許系統中任一個以.log擴展名結尾的文件被寫入。PR#7848 CAN-2001-0730
3。發現一個在Multiviews用于目錄索引協商時的漏洞。在一些配置中,如果一個URI請求帶著M=D的QUERY_STRING，那么可能返回一個目錄列表而不是預期中的索引頁。CAN-2001-0731
新的特性：
1.3.22主要的新特性(相比1.3.20):
1。用戶手冊更新了，同很多小的修正一樣這次更新包括了法語和日語的譯文,一個在Cygwin上使用Apache的指南，和一個使用日志文件的全面指南。
2。用戶手冊可以被移出htdocs（DocumentRoot）-可在安裝時的configure時調用--manualdir=選項來指定。允許在線文檔從常規內容中分離。
3。支持的圖標允許以PNG格式發布。
4。對Apache評測程序做了重大的檢查。ab被代替了，(第一個報告在四月），新的Apache評測包括修正，附加統計，CSV和gnuplot輸出以及SSL支持。
5。mod_usertrack模塊中加入了新的指令，首先，CookieDomain,可被用于自定義Domain屬性，加入CookieDomain指令的補丁最初提交已超過兩年了。mod_usertrack使用很舊的Netscape cookie語法，新的CookieStyle指令允許使用RFC2109或RFC2965來替代它。PR#5023, PR#5920, PR#6140.
6。如果在配置文件中發現了行末注釋(#)，服務器將顯示一個警告。不是所有的指令都能在相同行處理注釋。
7。一個新指令，AcceptMutex,允許使用的互斥類型在運行時的配置接受串行序列化，當前編譯時只在1.3中設置，即然不同的互斥類型在不同平臺上有不同的性能特征，這條指令將使管理員們調整他們的Apache更容易，當前可能的方法列表是：uslock, pthread, sysvsem, fcntl, flock, os2sem, tpfcore, none.不是所有的平臺都支持所有的方法。
8。mod_auth被增強了，將允許對一個文檔的存取控制基于文件屬主驗證。Require file-owner將只允許驗證的用戶名同文檔屬主匹配時才可以存取，Require file-group以類似的方式工作來檢查組的匹配。
相對特定平臺的新特性：
1。一個新指令，AcceptFilter，增加到在運行時來控制BSD的接受過濾。這使得在不同的BSD機器之間移動二進制包更容易而不需重編譯。支持接受過濾首先加在1.3.14版本中,這個功能可以推遲一個子進程處理一個新的連接的需求直到一個HTTP請求到達，因此可以增加一個給定數目的子進程可以處理的連接數。
2。在Win32平臺上mod_unique_id, mod_mime_magic, 和mod_vhost_alias模塊可用了。
3。在Win32平臺上允許server運行在Cygwin下的代碼中有一定數目的修正和更新，對Cygwin的支持首先加在1.3.20版本中。
4。在Windows NT或2000下，服務顯示的名稱可以由用戶修改（用服務控制面板applet).
5。在Win32下增加了一個新選項-W；來起動一個依靠性服務。
6。在TPF操作系統中將從最近的改進中得到利益。包括增強的系統派生和執行，更新了允許非堵塞的文件描述符和shutdown進程的更新。
修正的bugs:
下面的bug是在1.3.20中找到并已在1.3.22中修正的：
1。在某些情況下一個子進程可能會因為mod_include模塊中的一個bug而銷毀，如果服務器用ErrorDocument來代替404 (request not found)錯誤來指到一個服務器端解析的HTML文件，而它包含了這樣的片段，那么一個包含%2f的請求將導致一個段錯誤。這個段錯誤是無害的也不會導致安全問題，但是它可能是被最近的IIS蠕蟲觸發的。

上一篇：Apache相關特性與配置

下一篇：使用Apache ab進行http性能測試