http://httpd.apache.org/
CHANGESを見ると、幾つかの脆弱性が修正され、バグ修正や機能拡張も多数ある。
CHNAGESにある脆弱性の項目を直訳してみた。
CVE-2014-0117
Connectionヘッダの処理中にクラッシュする問題を修正。
この問題は、スレッドMPMの リバースproxyに対してDoS攻撃を可能にしていた。
http://svn.apache.org/viewvc?view=revision&revision=1610737
CVE-2014-3523
Windows環境で使用される WinNT MPMにあった大量のメモリ消費によるDoSの問題が修正された。
回避策: AcceptFilter <protocol> {none|connect}
http://svn.apache.org/viewvc?view=revision&revision=1610653
CVE-2014-0226
scoreboardの操作にあった競合条件を修正。
これはヒープバッファオーバフローを引き起こす可能性があった。
http://svn.apache.org/viewvc?view=revision&revision=1610499
CVE-2014-0118
DAFLATE入力フィルタ(圧縮されたリクエストボディを伸長する)は、データ長と伸長後のリクエストボディの圧縮レート)を制限するようした。
これにより高レートで圧縮されたリクエストボディによるDoS状態を避けられる。
DeflateInflateLimitRequestBody、DeflateInflateRatioLimit、DeflateInflateRatioBurstディレクティブで指定する。
http://svn.apache.org/viewvc?view=revision&revision=1610503
CVE-2014-0231
mod_cgid:stdinを読み込まないCGIスクリプトに対するDoSの問題を修正した。
これは、長引くHTTPD子プロセスがscoreboardを一杯にしてしまい、最終的にサーバをハングさせてしまった。
スクリプトとの通信に対して、デフォルトでは、クライアントのI/Oタイムアウト(TimeOutディレクティブで指定)を適用するようにした。
スクリプトとの通信時のタイムアウトを違う値にしたい場合はCGIDScriptTimeoutディレクティブを使用する。
http://svn.apache.org/viewvc?view=revision&revision=1610512
新機能
announceを見ると新機能として次の項目が紹介されている。
http://mail-archives.us.apache.org/mod_mbox/www-announce/201407.mbox/%3CAE2C52FD-C787-4F30-82B9-A9446C13246C@apache.org%3E
*) Proxy FGI and websockets improvements
FCGIとwebsocketのproxyの改善
*) Proxy capability via handler
ハンドラを介したproxyの利用
http://httpd.apache.org/docs/2.4/en/mod/mod_proxy.html#handler
*) Finer control over scoping of RewriteRules
RewriteRuleの適用範囲のより細やかな管理
これは、RewriteOptionsにいくつか新しいオプションがあるが、2.4.8(2.4.9)からあるものだった。
http://httpd.apache.org/docs/2.4/en/mod/mod_rewrite.html#rewriteoptions
2.4.8のCHANGESに以下の項目がある。
*) mod_rewrite: Add RewriteOptions InheritDown, InheritDownBefore,
and IgnoreInherit to allow RewriteRules to be pushed from parent scopes
to child scopes without explicitly configuring each child scope.
PR56153. [Edward Lu <Chaosed0 gmail com>]
*) Unix Domain Socket (UDS) support for mod_proxy backends.
mpd_proxyのバックエンドに対する Unix Domain Socketのサポート
これは、CHANGESの2.4.7で追加になっている項目だが...
*) mod_proxy: Added support for unix domain sockets as the
backend server endpoint [Jim Jagielski, Blaise Tarr
<blaise tarr gmail com>]
下記のコミットがそれなら、時期的には、2.4.8のようだ。
http://svn.apache.org/viewvc?view=revision&revision=1560081
確認してみると、2.4.7に同梱のCHANGESにはこの記載はない。
何が起きていたのか。
*) Support for larger shared memory sizes for mod_socache_shmcb
mod_sochache_shmcbにおけるより大容量のメモリのサポート
これも2.4.8のCHANGESにそれらしい項目がある。
*) mod_socache_shmcb.c: Remove arbitrary restriction on shared memory size
previously limited to 64MB. [Jens Laas <jelaas gmail.com>]
*) mod_lua and mod_ssl enhancements
mod_luaとmod_sslの拡張
*) Support named groups and backreferences within the LocationMatch,
DirectoryMatch, FilesMatch and ProxyMatch directives.
LocalMatch、SirectoryMatch、FilesMatchおよびProxyMatchディレクティブ
での名前付きグループと後方参照のサポート
これも2.4.8のCHANGESにそのままの項目がある。
*) core: Support named groups and backreferences within the LocationMatch,
DirectoryMatch, FilesMatch and ProxyMatch directives. (Requires
non-ancient PCRE library) [Graham Leggett]
それで、2.4.9のANNOUNCEを見てみると(2.4.8はリリースされていない)、
http://mail-archives.us.apache.org/mod_mbox/www-announce/201403.mbox/%3C6DC3A229-80BC-4F57-8420-990C40DD3244%40apache.org%3E
*) Finer control over scoping of RewriteRules
*) Unix Domain Socket (UDS) support for mod_proxy backends.
*) Support for larger shared memory sizes for mod_socache_shmcb
*) mod_lua and mod_ssl enhancements
*) Support named groups and backreferences within the LocationMatch,
DirectoryMatch, FilesMatch and ProxyMatch directives.
2.4.7を見ると
http://mail-archives.us.apache.org/mod_mbox/www-announce/201311.mbox/%3C4E18E0C7-8E6E-417E-B36C-3A04C880E4CA%40apache.org%3E
*) Major updates to mod_proxy_fcgi
*) Higher performant event MPM
*) Enhancements to the WinNT MPM
別にマージされているわけではない。
よく分からない。
0 件のコメント:
コメントを投稿