井の中ブログ: httpd-2.4.9 Release

2014年3月18日火曜日

httpd-2.4.9がリリースされた。

http://ミラーサーバ/pub/network/apache/httpd/

http://ミラーサーバ/pub/network/apache/httpd/CHANGES_2.4.9

CHANGESを見ると脆弱性が2件修正されている。

cookieをログ出力する処理にあった冗長な文字列解析を整理した。

値を有するcookieのみをログ出力するようにした。これにより、これにより切り詰められたcookieをログ出力するときに、segfaultするのを防いだ

mod_dav: 先行するスペースを削除するような場合にも、cdataの長さを正しく維持するようにした。

特別に細工したDAV WRITEリクエストを使って、DoS状態にすることかできる可能性があった。

いずれも、コードとしては、2.2.26にもあるようだ。
...2.2.27のCHANGESにも書かれていた。

井の中ブログ