Neuer Webserver - Seite 3

maxb · 19.08.2006, 11:40

Zitat:

Original geschrieben von Neo
hä?

Vielleicht meint er, warum die betagte Version 1.3.34 drauf läuft

Neo · 19.08.2006, 11:47

Aso.

Naja, das sind die gepatchten Sachen bis zur aktuellen Version:

*) SECURITY: CVE-2006-3747 (cve.mitre.org)
mod_rewrite: Fix an off-by-one security problem in the ldap scheme
handling. For some RewriteRules this could lead to a pointer being
written out of bounds. Reported by Mark Dowd of McAfee.
[Mark Cox]

*) Reverted SVN rev #396294 due to unwanted regression.
The new feature introduced in 1.3.35 (Allow usage of the
"Include" configuration directive within previously "Include"d
files) has been removed in the meantime.
(http://svn.apache.org/viewcvs?rev=396294&view=rev)

*) SECURITY: CVE-2005-3352 (cve.mitre.org)
mod_imap: Escape untrusted referer header before outputting in HTML
to avoid potential cross-site scripting. Change also made to
ap_escape_html so we escape quotes. Reported by JPCERT.
[Mark Cox]

*) core: Allow usage of the "Include" configuration directive within
previously "Include"d files. [Colm MacCarthaigh]

*) HTML-escape the Expect error message. Not classed as security as
an attacker has no way to influence the Expect header a victim will
send to a target site. Reported by Thiago Zaninotti
<thiango nstalker.com>. [Mark Cox]

*) mod_cgi: Remove block on OPTIONS method so that scripts can
respond to OPTIONS directly rather than via server default.
[Roy Fielding] PR 15242

Vielleicht ist ja für irgendwen etwas nützliches dabei.

Stefan Söllner · 19.08.2006, 12:00

Ja. Apache und Security Patches gehören nun zusammen, das meine ich auch nicht.

Es geht um Performance und Einsatz von Ressourcen, die einen Blick über den Tellerrand lohnenswert machen.

Ist aber auch eine Frage der _benötigten_ Module bzw. Verfügbarkeit in HTTPD Alternativen . Bzw. der Anpassungsfähigkeit vom Admin u.U. einen Mittelweg zu beschreiten.

Philipp · 19.08.2006, 12:05

Der WCM Server verwendet die Debian Etch Fassung von Apache. Dort sind schon sämtliche Sicherheitskorrekturen enthalten.

Ich persöhnlich kann Lighttpd auch nur empfehlen, allerdings ist die Konfiguration bei größeren Server ein wenig komplexer.

Neo · 19.08.2006, 12:20

Zitat:

Original geschrieben von Stefan Söllner
Ja. Apache und Security Patches gehören nun zusammen

Das ist eigentlich viel zu spezifisch.

Richtig wäre "Software und Security Patches gehören zusammen".

frankenheimer · 19.08.2006, 15:11

sinnlose Diskussion !??!??!!!??!
Was läuft auf einem Server ?
Mehrere Sites.
Mehrere Instanzen. (DB und WS).
Generationelle Backups.
Cron Jobs.
Das braucht enorm viel Speicherplatz.
Und als RAID ist nat. RAID5 vorhanden.
Aber HW Accelerated.

FHMER

Stefan Söllner · 19.08.2006, 22:52

Zitat:

Was läuft auf einem Server ?
Mehrere Sites.
Mehrere Instanzen. (DB und WS).
Generationelle Backups.
Cron Jobs.

Ach so. Dann bin ich beruhigt

19.08.2006, 11:47	#22
Neo Inventar Registriert seit: 12.12.1999 Beiträge: 3.662	Aso. Naja, das sind die gepatchten Sachen bis zur aktuellen Version: ) SECURITY: CVE-2006-3747 (cve.mitre.org) mod_rewrite: Fix an off-by-one security problem in the ldap scheme handling. For some RewriteRules this could lead to a pointer being written out of bounds. Reported by Mark Dowd of McAfee. [Mark Cox] ) Reverted SVN rev #396294 due to unwanted regression. The new feature introduced in 1.3.35 (Allow usage of the "Include" configuration directive within previously "Include"d files) has been removed in the meantime. (http://svn.apache.org/viewcvs?rev=396294&view=rev) ) SECURITY: CVE-2005-3352 (cve.mitre.org) mod_imap: Escape untrusted referer header before outputting in HTML to avoid potential cross-site scripting. Change also made to ap_escape_html so we escape quotes. Reported by JPCERT. [Mark Cox] ) core: Allow usage of the "Include" configuration directive within previously "Include"d files. [Colm MacCarthaigh] ) HTML-escape the Expect error message. Not classed as security as an attacker has no way to influence the Expect header a victim will send to a target site. Reported by Thiago Zaninotti <thiango nstalker.com>. [Mark Cox] ) mod_cgi: Remove block on OPTIONS method so that scripts can respond to OPTIONS directly rather than via server default. [Roy Fielding] PR 15242 Vielleicht ist ja für irgendwen etwas nützliches dabei. ____________________________________ "I would buy a Mac today if I was not working at Microsoft." - Jim Allchin, Co-President, Platforms & Services Division, Microsoft Corporation

19.08.2006, 15:11	#26
frankenheimer Senior Member Registriert seit: 09.05.2003 Alter: 53 Beiträge: 101	Welch sinnlose Diskussion !??!??!!!??! Was läuft auf einem Server ? Mehrere Sites. Mehrere Instanzen. (DB und WS). Generationelle Backups. Cron Jobs. Das braucht enorm viel Speicherplatz. Und als RAID ist nat. RAID5 vorhanden. Aber HW Accelerated. FHMER

19.08.2006, 12:00	#23
Stefan Söllner bitte Mailadresse prüfen! Registriert seit: 15.11.2001 Beiträge: 2.875	Ja. Apache und Security Patches gehören nun zusammen, das meine ich auch nicht. Es geht um Performance und Einsatz von Ressourcen, die einen Blick über den Tellerrand lohnenswert machen. Ist aber auch eine Frage der _benötigten_ Module bzw. Verfügbarkeit in HTTPD Alternativen . Bzw. der Anpassungsfähigkeit vom Admin u.U. einen Mittelweg zu beschreiten.

19.08.2006, 12:05	#24
Philipp verXENt Registriert seit: 01.08.1999 Beiträge: 7.084 Mein Computer	Der WCM Server verwendet die Debian Etch Fassung von Apache. Dort sind schon sämtliche Sicherheitskorrekturen enthalten. Ich persöhnlich kann Lighttpd auch nur empfehlen, allerdings ist die Konfiguration bei größeren Server ein wenig komplexer.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)