开源 Windows Android centos mysql apache HTML5 Python linux nginx wordpress shell php linux命令 Firefox 程序员 java google 微软 Ubuntu

Apache HTTP Server 2.4.2发布,修复重要安全漏洞

Apache HTTP Server团队今天发布了2.4分支的第2个主要升级版本。

该版本主要修复了之前版本的一个安全漏洞,如下:

CVE-2012-0883:修复了不安全的LD_LIBRARY_PATH操作,该操作可能导致攻击者在当前的工作目录中搜索DSO(动态共享对象)。

该版本还修复了mod_slotmem_shm、mod_ssl、mod_proxy、mod_proxy、mod_sed、mod_request、mod_dumpio等模块中的一些bug,详细信息参阅:CHANGES_2.4.2

升级至该版本,需要注意的是:

  • 依赖Apache Portable Runtime (APR) 1.4.x和APR-Util 1.4.x。APR库必须升级,以保证httpd所有的功能可以正常运行。
  • Apache 2.4.x版本扩展了Apache 2.2 API,针对Apache 2.2编写的模块需要重新编译,以便能够在该版本中运行,甚至需要修改少量源码。
  • 升级或安装此版本的Apache时,如果打算使用线程化MPM(不同于Prefork MPM),必须确保将使用的任何模块以及它们所依赖的库是线程安全的。

Windows用户需要注意:

  • “AcceptFilter None”取代了“Win32DisableAcceptEx”,与mod_ssl之间可能会有一些互操作性问题。
  • Apache 2.4.2可能不适用于所有的Windows服务器。目前Apache 2.4还没有Windows二进制版本,Apache团队表示会尽快发布。

下载地址:http://httpd.apache.org/download.cgi#apache24

延伸阅读

评论