Apache Software Foundation dan Proyek Apache HTTP Server telah mengumumkan rilis versi 2.2.22 dari Apache HTTP Server ("Apache"). Proyek Apache HTTP menganggap rilis ini menjadi versi terbaik dari Apache yang tersedia saat ini dan mendorong semua pengguna dari versi sebelumnya untuk segera melakukan upgrade.
Menurut catatan , rilis utama versi Apache ini adalah berisi perbaikan keamanan dan bug, termasuk perbaikan keamanan signifikan berikut:
* KEAMANAN: CVE-2011-3368 (cve.mitre.org): Menolak permintaan jika permintaan-URI (uniform resource identifier) tidak sesuai dengan spesifikasi HTTP, mencegah ekspansi tak terduga pada target URL (Uniform Resource Locator )dalam beberapa konfigurasi reverse proxy.
* KEAMANAN: CVE-2011-3607 (cve.mitre.org): Memperbaiki integer overflow dalam ap_pregsub (), dimana ketika modul mod_setenvif diaktifkan, dapat memungkinkan pengguna lokal untuk mendapatkan hak melalui file .htaccess.
* KEAMANAN: CVE-2011-4317 (cve.mitre.org): Selesaikan kasus tambahan “menulis ulang” URL dengan ProxyPassMatch atau RewriteRule, di mana permintaan-URIs tertentu dapat mengakibatkan eksposur jaringan backend yang tidak diinginkan di beberapa konfigurasi.
* KEAMANAN: CVE-2012-0021 (cve.mitre.org): mod_log_config: untuk memperbaiki segfault (crash) ketika log format string dengan '% {cookiename} C' sedang digunakan dan klien mengirimkan sebuah nameless, valueless cookie, dimana dapat menyebabkan penolakan layanan (Dos: Denial of Service). Masalah ini ada sejak versi 2.2.17.
* KEAMANAN: CVE-2012-0031 (cve.mitre.org): Memperbaiki masalah “papan skor” (scoreboard issue) yang dapat memungkinkan sebuah proses unprivileged (unprivileged child process ) yang dapat menyebabkan crash ketika melakukan shutdown.
* KEAMANAN: CVE-2012-0053 (cve.mitre.org): Menangani masalah di dalam respon kesalahan yang dapat mengekspos cookies "httpOnly" bila tidak ada ErrorDocument kustom yang ditentukan untuk kode status 400.
Proyek Apache HTTP ini dapat terwujud berkat halfdog, Context Information Security Ltd, Prutha Parikh of Qualys dan Norman Hippert untuk membawa masalah ini menjadi perhatian dari tim keamanan.
Rilis ini meliputi Apache Portabel Runtime (APR) versi 1.4.5 dan APR Utilitas Library (April-util) versi 1.4.2, dibundel dengan RAR dan distribusi ZIP. Library APR libapr dan libaprutil (di Win32, libapriconv versi 1.2.1) semua harus diperbarui untuk memastikan kompatibilitas biner dan keamanan alamat dikenal banyak dan bug platform.
Ketika melakukan upgrade atau menginstal versi dari Apache, harap diingat bahwa jika Anda berniat untuk menggunakan Apache dengan salah satu MPMs threaded (selain MPM prefork), anda harus memastikan bahwa setiap modul akan anda gunakan dan pustaka yang dipakai aman (thread-safe).
SUMBER :http://beritanet.com/Hardware/Software/Telah_diRilis_Apache_HTTP_Server_22_22.html
Tidak ada komentar:
Posting Komentar