Apache 1.3.34 Bugfix Release - Freier Webserver

Software Die Entwickler des Freien Webservers Apache, haben eine Bugfixversion, des 1.x-Zweiges herausgebracht. In der Version 1.3.34 wurden 2 Sicherheitsfehler und mehrere kleine Bug's behoben. Eine dazugehörige mod-ssl Version steht auch zur verfügung. Eine der geschlossenen Lücken ermöglichte die Umgehung von Web-Anwendungs-Firewalls oder Cross-Site-Scripting-Angriffe durch gleichzeitiges Senden von Transfer-Encoding: chunked- und Content-Length-Headern. Die Option TraceEnable arbeitete im Proxy-Server nicht RFC-konform, diesen Fehler beheben die Entwickler ebenfalls.

Changelog:
  • hsregex: fix potential core dumping on 64 bit machines, such as
    AMD64. PR 31858.

  • SECURITY: core: If a request contains both Transfer-Encoding and Content-Length headers, remove the Content-Length, mitigating some HTTP Request Splitting/Spoofing attacks. This has no impact on mod_proxy_http, yet affects any module which supports chunked encoding yet fails to prefer T-E: chunked over the Content-Length purported value.

  • Added TraceEnable [on|off|extended] per-server directive to alter the behavior of the TRACE method. This addresses a flaw in proxy conformance to RFC 2616 - previously the proxy server would accept a TRACE request body although the RFC prohibited it. The default remains 'TraceEnable on'.

  • mod_digest: Fix another nonce string calculation issue.

Der 2.x-Zweig wurde bereits am Wochenende aktualisiert.

Projekt-Homepage: Apache.org

Lizenztyp: Apache License (GPL)
Software-Download: Apache.org
Diese Nachricht empfehlen
Kommentieren4
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr F-Secure Internet Security - 1 Jahr / 1 Computer
F-Secure Internet Security - 1 Jahr / 1 Computer
Original Amazon-Preis
22,99
Im Preisvergleich ab
22,99
Blitzangebot-Preis
18,48
Ersparnis zu Amazon 20% oder 4,51

Video-Empfehlungen

Tipp einsenden