2014年7月22日火曜日

httpd-2.4.10 Release

httpd-2.4.10がリリースされた
http://httpd.apache.org/

CHANGESを見ると、幾つかの脆弱性が修正され、バグ修正や機能拡張も多数ある。
CHNAGESにある脆弱性の項目を直訳してみた。

CVE-2014-0117
Connectionヘッダの処理中にクラッシュする問題を修正。
この問題は、スレッドMPMの リバースproxyに対してDoS攻撃を可能にしていた。
http://svn.apache.org/viewvc?view=revision&revision=1610737

CVE-2014-3523
Windows環境で使用される WinNT MPMにあった大量のメモリ消費によるDoSの問題が修正された。
回避策: AcceptFilter <protocol> {none|connect}
http://svn.apache.org/viewvc?view=revision&revision=1610653

CVE-2014-0226
scoreboardの操作にあった競合条件を修正。
これはヒープバッファオーバフローを引き起こす可能性があった。
http://svn.apache.org/viewvc?view=revision&revision=1610499

CVE-2014-0118
DAFLATE入力フィルタ(圧縮されたリクエストボディを伸長する)は、データ長と伸長後のリクエストボディの圧縮レート)を制限するようした。
これにより高レートで圧縮されたリクエストボディによるDoS状態を避けられる。
DeflateInflateLimitRequestBody、DeflateInflateRatioLimit、DeflateInflateRatioBurstディレクティブで指定する。
http://svn.apache.org/viewvc?view=revision&revision=1610503

CVE-2014-0231
mod_cgid:stdinを読み込まないCGIスクリプトに対するDoSの問題を修正した。
これは、長引くHTTPD子プロセスがscoreboardを一杯にしてしまい、最終的にサーバをハングさせてしまった。
スクリプトとの通信に対して、デフォルトでは、クライアントのI/Oタイムアウト(TimeOutディレクティブで指定)を適用するようにした。
スクリプトとの通信時のタイムアウトを違う値にしたい場合はCGIDScriptTimeoutディレクティブを使用する。
http://svn.apache.org/viewvc?view=revision&revision=1610512


新機能
announceを見ると新機能として次の項目が紹介されている。
http://mail-archives.us.apache.org/mod_mbox/www-announce/201407.mbox/%3CAE2C52FD-C787-4F30-82B9-A9446C13246C@apache.org%3E

*) Proxy FGI and websockets improvements
   FCGIとwebsocketのproxyの改善

*) Proxy capability via handler
   ハンドラを介したproxyの利用
   http://httpd.apache.org/docs/2.4/en/mod/mod_proxy.html#handler

*) Finer control over scoping of RewriteRules
   RewriteRuleの適用範囲のより細やかな管理

これは、RewriteOptionsにいくつか新しいオプションがあるが、2.4.8(2.4.9)からあるものだった。
http://httpd.apache.org/docs/2.4/en/mod/mod_rewrite.html#rewriteoptions
2.4.8のCHANGESに以下の項目がある。
*) mod_rewrite: Add RewriteOptions InheritDown, InheritDownBefore,
   and IgnoreInherit to allow RewriteRules to be pushed from parent scopes
   to child scopes without explicitly configuring each child scope.
   PR56153. [Edward Lu <Chaosed0 gmail com>]

*) Unix Domain Socket (UDS) support for mod_proxy backends.
   mpd_proxyのバックエンドに対する Unix Domain Socketのサポート

これは、CHANGESの2.4.7で追加になっている項目だが...
   *) mod_proxy: Added support for unix domain sockets as the
      backend server endpoint [Jim Jagielski, Blaise Tarr
      <blaise tarr gmail com>]
下記のコミットがそれなら、時期的には、2.4.8のようだ。 
http://svn.apache.org/viewvc?view=revision&revision=1560081
確認してみると、2.4.7に同梱のCHANGESにはこの記載はない。
何が起きていたのか。

*) Support for larger shared memory sizes for mod_socache_shmcb
   mod_sochache_shmcbにおけるより大容量のメモリのサポート

これも2.4.8のCHANGESにそれらしい項目がある。
*) mod_socache_shmcb.c: Remove arbitrary restriction on shared memory size
    previously limited to 64MB. [Jens Laas <jelaas gmail.com>]

*) mod_lua and mod_ssl enhancements
   mod_luaとmod_sslの拡張

*) Support named groups and backreferences within the LocationMatch,
   DirectoryMatch, FilesMatch and ProxyMatch directives.
   LocalMatch、SirectoryMatch、FilesMatchおよびProxyMatchディレクティブ
   での名前付きグループと後方参照のサポート

これも2.4.8のCHANGESにそのままの項目がある。
*) core: Support named groups and backreferences within the LocationMatch,
    DirectoryMatch, FilesMatch and ProxyMatch directives. (Requires
    non-ancient PCRE library) [Graham Leggett]

それで、2.4.9のANNOUNCEを見てみると(2.4.8はリリースされていない)、
http://mail-archives.us.apache.org/mod_mbox/www-announce/201403.mbox/%3C6DC3A229-80BC-4F57-8420-990C40DD3244%40apache.org%3E

*) Finer control over scoping of RewriteRules
*) Unix Domain Socket (UDS) support for mod_proxy backends.
*) Support for larger shared memory sizes for mod_socache_shmcb
*) mod_lua and mod_ssl enhancements
*) Support named groups and backreferences within the LocationMatch,
   DirectoryMatch, FilesMatch and ProxyMatch directives.


2.4.7を見ると
http://mail-archives.us.apache.org/mod_mbox/www-announce/201311.mbox/%3C4E18E0C7-8E6E-417E-B36C-3A04C880E4CA%40apache.org%3E

*) Major updates to mod_proxy_fcgi
*) Higher performant event MPM
*) Enhancements to the WinNT MPM

別にマージされているわけではない。
よく分からない。


0 件のコメント:

コメントを投稿