Apache 1.3.33 corrige des bugs !

[Dan]

Bonjour à tous !

Quantité de sites du village.org se sont fait défacer par des hackers hier.

La version Apache utilisée était la 1.3.31.

Pour pallier à ces inconvévients, le Hub est passé en 1.3.33 ce soir (ce qui nous a valu un petit loupé de quelques minutes).

Les serveurs dédiés que nous avons en gestion sont passés eux aussi en 1.3.33 (sans le loupé )

Les release notes sur le site Apache.org donnent les résolutions de bug suivantes:

The main security vulnerabilities addressed in 1.3.33 are:

CAN-2004-0940 (cve.mitre.org)

Fix potential buffer overflow with escaped characters in SSI tag string.

CAN-2004-0492 (cve.mitre.org)

Reject responses from a remote server if sent an invalid (negative) Content-Length.

mod_rewrite: Fix query string handling for proxied URLs. PR 14518.

mod_rewrite: Fix 0 bytes write into random memory position. PR 31036.

mod_digest: Fix nonce string calculation since 1.3.31 which would force re-authentication for every connection if AuthDigestRealmSeed was not configured. PR 30920.

Fix trivial bug in mod_log_forensic that caused the child to seg fault when certain invalid requests were fired at it with forensic logging is enabled. PR 29313.

No longer breaks mod_dav, frontpage and others. Repair a patch in 1.3.31 which prevented discarding the request body for requests that will be keptalive but are not currently keptalive. PR 29237.

Voir la page http://www.apache.org/dist/httpd/Announcement.html

Dan

[Elgi]

Pour info :

http://mir2.ovh.net/ftp.apache.org/dist/ht...e_1.3.34.tar.gz 17-Oct-2005 16:21 2.4M HTTP Server project

[Dan]

Oui Elgi, merci :!:

Le Hub est passé en version 1.3.34 aujourd'hui. Une fois qu'il aura tourné au moins 48H sans problème je passerai les serveurs infogérés à cette version

Il faut bien sûr en profiter pour mettre la dernière version de mod_ssl adaptée à cette version d'Apache.

Dan

[Elgi]

De rien, je ne pourrais te dire si il est stable, je tourne sous apache 2