Apache

Novità nella versione 2.4.1:

• Miglioramenti principali:
• MPM caricabili in fase di esecuzione
• È ora possibile creare più MPM come moduli caricabili in fase di compilazione. L'MPM di scelta può essere configurato in fase di esecuzione.
• Evento MPM
• L'evento MPM non è più sperimentale, ma ora è completamente supportato.
• Supporto asincrono
• Supporto migliore per la lettura / scrittura asincrona per il supporto di MPM e piattaforme.
• Configurazione per LogLevel per modulo e per directory
• Ora il LogLevel può essere configurato per modulo e per directory. Nuovi livelli da trace1 a trace8 sono stati aggiunti sopra il livello del registro di debug.
• Sezioni di configurazione per richiesta
• , e le sezioni possono essere utilizzate per impostare la configurazione in base ai criteri per richiesta.
• Analizzatore di espressioni per scopi generali
• Un nuovo parser di espressioni consente di specificare condizioni complesse utilizzando una sintassi comune in direttive come SetEnvIfExpr, RewriteCond, Header e altri.
• KeepAliveTimeout in millisecondi
• Ora è possibile specificare KeepAliveTimeout in millisecondi.
• Direttiva NameVirtualHost
• Non più necessario e ora è deprecato.
• Sostituisci configurazione
• La nuova direttiva AllowOverrideList consente un controllo più granulare che le direttive sono consentite nei file .htaccess.
• Variabili del file di configurazione
• Ora è possibile definire le variabili nella configurazione, consentendo una rappresentazione più chiara se lo stesso valore viene utilizzato in molti punti della configurazione.
• Utilizzo della memoria ridotto
• Nonostante molte nuove funzionalità, la 2.4.x tende ad usare meno memoria rispetto alla 2.2.x.
• Nuovi moduli:
• mod_proxy_fcgi
• Protocollo di protocollo FastCGI per mod_proxy
• mod_proxy_scgi
• Back-end del protocollo SCGI per mod_proxy
• mod_proxy_express
• Fornisce proxy di massa inversi configurati dinamicamente per mod_proxy
• mod_remoteip
• Sostituisce l'apparente indirizzo IP remoto del client e il nome host per la richiesta con l'elenco di indirizzi IP presentato da un proxy o un servizio di bilanciamento del carico tramite le intestazioni della richiesta.
• mod_heartmonitor, mod_lbmethod_heartbeat
• Permetti a mod_proxy_balancer di basare le decisioni sul bilanciamento del carico sul numero di connessioni attive sui server di back-end.
• mod_proxy_html
• Precedentemente un modulo di terze parti, questo supporta il fissaggio di collegamenti HTML in una situazione di proxy inverso, in cui il backend genera URL che non sono validi per i client del proxy.
• mod_sed
• Una sostituzione avanzata di mod_substitute, consente di modificare il corpo della risposta con tutta la potenza di sed.
• mod_auth_form
• Permette di fare l'autenticazione basata su form.
• mod_session
• Consente di mantenere lo stato della sessione per i client, utilizzando cookie o archiviazione del database.
• mod_allowmethods
• Nuovo modulo per limitare determinati metodi HTTP senza interferire con l'autenticazione o l'autorizzazione.
• mod_lua
• Incorpora la lingua Lua in httpd, per le funzioni di configurazione e di business logic. (Sperimentale)
• mod_log_debug
• Consente di aggiungere la registrazione debug personalizzabile in diverse fasi dell'elaborazione della richiesta.
• mod_buffer
• Fornisce il buffering degli stack del filtro di input e di output
• mod_data
• Converti il ​​corpo della risposta in un URL di dati RFC2397
• mod_ratelimit
• Fornisce la limitazione della velocità di banda per i client
• mod_request
• Fornisce filtri per gestire e rendere disponibili gli organismi di richiesta HTTP
• mod_reflector
• Fornisce il riflesso di un corpo di richiesta come risposta tramite lo stack del filtro di output.
• mod_slotmem_shm
• Fornisce un provider di memoria condivisa basato su slot (al di là del quadro di valutazione).
• mod_xml2enc
• Precedentemente un modulo di terze parti, questo supporta l'internazionalizzazione nei moduli di filtro basati su libxml2 (markup-aware).
• Miglioramenti del modulo:
• mod_ssl
• mod_ssl può ora essere configurato per utilizzare un server OCSP per verificare lo stato di convalida di un certificato client. Il risponditore predefinito è configurabile, insieme alla decisione se preferire il risponditore designato nel certificato del cliente stesso.
• mod_ssl ora supporta anche la graffatura OCSP, in cui il server ottiene in modo proattivo una verifica OCSP del suo certificato e lo trasmette al client durante l'handshake.
• mod_ssl può ora essere configurato per condividere i dati della sessione SSL tra server attraverso memcached
• Ora le chiavi EC sono supportate in aggiunta a RSA e DSA.
• mod_proxy
• La direttiva ProxyPass ora è configurata in modo ottimale in un blocco Location o LocationMatch e offre un significativo vantaggio in termini di prestazioni rispetto alla tradizionale sintassi a due parametri quando presente in grandi numeri.
• L'indirizzo di origine utilizzato per le richieste proxy è ora configurabile.
• mod_proxy_balancer
• Altre modifiche alla configurazione di runtime per BalancerMembers tramite il gestore di bilanciamento
• Ulteriori BalancerMembers possono essere aggiunti in fase di esecuzione tramite il gestore di bilanciamento
• Configurazione di runtime di un sottoinsieme di parametri di Balancer
• I BalancerMembers possono essere impostati su "Drain" in modo che rispondano solo alle sessioni persistenti esistenti, consentendo loro di essere gestiti con garbo offline.
• Le impostazioni del bilanciamento possono essere persistenti dopo i riavvii.
• mod_cache
• mod_cache ora può memorizzare le richieste HEAD.
• Dove possibile, le direttive mod_cache possono ora essere impostate per directory, anziché per server.
• L'URL di base degli URL memorizzati nella cache può essere personalizzato, in modo che un cluster di cache possa condividere lo stesso prefisso URL dell'endpoint.
• mod_cache è ora in grado di servire dati memorizzati nella cache quando un back-end non è disponibile (errore 5xx).
• mod_cache ora può inserire HIT / MISS / REVALIDATE in un'intestazione X-Cache.
• mod_include
• Supporto per l'attributo 'onerror' all'interno di un elemento 'include', che consente di fornire un documento di errore in caso di errore al posto della stringa di errore predefinita.
• mod_cgi, mod_include, mod_isapi, ...
• Traduzione di intestazioni alle variabili di ambiente è più rigorosa rispetto al passato per mitigare alcuni possibili attacchi di cross-site-scripting tramite iniezione intestazione. Le intestazioni contenenti caratteri non validi (inclusi caratteri di sottolineatura) vengono ora eliminati automaticamente. Le variabili d'ambiente in Apache hanno alcuni indicatori su come aggirare i client legacy danneggiati che richiedono tali intestazioni. (Questo riguarda tutti i moduli che usano queste variabili d'ambiente.)
• mod_authz_core Contenitori logici di autorizzazione
• La logica di autorizzazione avanzata può ora essere specificata utilizzando la direttiva Require e le relative direttive contenitore, come ad esempio
• mod_rewrite
• mod_rewrite aggiunge la [QSD] (Query String Scarta) e [fine] bandiere per RewriteRule per semplificare gli scenari di riscrittura comuni.
• Aggiunge la possibilità di utilizzare espressioni booleane complesse in RewriteCond.
• Consente di utilizzare query SQL come funzioni di RewriteMap.
• mod_ldap, mod_authnz_ldap
• mod_authnz_ldap aggiunge il supporto per i gruppi nidificati.
• mod_ldap aggiunge LDAPConnectionPoolTTL, LDAPTimeout, e altri miglioramenti nella gestione di timeout. Ciò è particolarmente utile per le configurazioni in cui un firewall con stato riduce le connessioni inattive al server LDAP.
• mod_ldap aggiunge LDAPLibraryDebug per registrare le informazioni di debug fornite dal toolkit LDAP utilizzato.
• mod_info
• mod_info ora può scaricare la configurazione pre-analizzata su stdout durante l'avvio del server.
• Miglioramenti del programma:
• fcgistarter
• Nuova utilità di avvio deamon FastCGI
• htcacheclean
• Gli URL memorizzati nella cache corrente possono ora essere elencati, con inclusi i metadati opzionali.
• Consenti l'eliminazione esplicita di singoli URL nella cache dalla cache.
• Le dimensioni dei file ora possono essere arrotondate alla dimensione del blocco dato, facendo in modo che i limiti delle dimensioni si avvicinino maggiormente alla dimensione reale sul disco.
• Le dimensioni della cache possono ora essere limitate dal numero di inode, invece che o oltre a essere limitato dalla dimensione dei file sul disco.
• rotatelogs
• Ora puoi creare un collegamento al file di registro corrente.
• Ora può richiamare uno script post-rotazione personalizzato.
• Documentazione:
• mod_rewrite
• La documentazione di mod_rewrite è stata riorganizzata e quasi completamente riscritta, con particolare attenzione agli esempi e all'utilizzo comune, oltre a mostrare quando altre soluzioni sono più appropriate. La Rewrite Guide è ora una sezione di livello superiore con molti più dettagli e una migliore organizzazione.
• mod_ssl
• La documentazione di mod_ssl è stata notevolmente migliorata, con più esempi al livello iniziale, oltre al precedente focus sui dettagli tecnici.
• Modifiche allo sviluppatore del modulo:
• Controlla il collegamento di configurazione aggiunto
• È stato aggiunto un nuovo hook, check_config, che viene eseguito tra gli hook pre_config e open_logs. Funziona anche prima del gancio test_config quando l'opzione -t viene passata a httpd. L'hook check_config consente ai moduli di rivedere i valori delle direttive di configurazione interdipendenti e regolarli mentre i messaggi possono ancora essere registrati nella console. L'utente può quindi essere avvisato di problemi di configurazione errata prima che la funzione di hook open_logs core reindirizzi l'output della console al log degli errori.
• Expression Parser Added
• Ora abbiamo un parser di espressioni generiche, la cui API è esposta in ap_expr.h. Questo è adattato dal parser di espressioni precedentemente implementato in mod_ssl.
• Contenitori logici di autorizzazione
• I moduli di autorizzazione ora si registrano come provider, tramite ap_register_auth_provider (), per supportare la logica di autorizzazione avanzata, come ad esempio.
• Interfaccia di memorizzazione nella cache per piccoli oggetti
• L'intestazione ap_socache.h espone un'interfaccia basata sul provider per la memorizzazione nella cache di oggetti di dati di piccole dimensioni, in base all'implementazione precedente della cache di sessione mod_ssl. I fornitori che utilizzano un buffer ciclico a memoria condivisa, i file dbm basati su disco e una cache distribuita su memcache sono attualmente supportati.
• Aggiunto lo stato di cache aggiunto
• Il modulo mod_cache ora include un nuovo hook cache_status, che viene chiamato quando viene riconosciuta la decisione di memorizzazione nella cache. Viene fornita un'implementazione predefinita che aggiunge un'intestazione opzionale X-Cache e X-Cache-Detail alla risposta.

Novità nella versione 2.3.15 Beta:

• SICUREZZA: CVE-2011-3348 (cve.mitre.org)
• mod_proxy_ajp: risponde con HTTP_NOT_IMPLEMENTED quando il metodo non viene riconosciuto.
• SICUREZZA: CVE-2011-3192 (cve.mitre.org)
• core: risolve la gestione delle richieste di byte range per utilizzare meno memoria, per evitare denial of service. Se la somma di tutti gli intervalli in una richiesta è maggiore del file originale, ignorare gli intervalli e inviare il file completo. PR 51714.
• SICUREZZA: CVE-2011-3607 (cve.mitre.org)
• core: correggi l'overflow dei numeri interi in ap_pregsub. Questo può essere attivato, ad es. con mod_setenvif tramite un .htaccess dannoso.
• configure: carica tutti i moduli nella configurazione predefinita generata quando si utilizza --enable-load-all-modules.
• mod_reqtimeout: modifica il valore predefinito per impostare alcuni valori di timeout ragionevoli.
• core, mod_dav_fs: modifica l'ETag predefinito in modo che sia & quot; size mtime & quot ;, ovvero rimuovi l'inode. PR 49623.
• mod_lua: esporre le variabili SSL tramite r: ssl_var_lookup ().
• mod_lua: LuaHook {AccessChecker, AuthChecker, CheckUserID, TranslateName} ora può anche essere eseguito come & quot; early & quot; o & quot; tardi & quot; relativo ad altri moduli.
• configure: per impostazione predefinita, carica solo quei moduli che sono richiesti o esplicitamente selezionati da un argomento configure --enable-foo. Le istruzioni LoadModule per i moduli abilitati da --enable-mods-shared = most e gli amici saranno commentati.
• mod_lua: impedisce che i primi hook Lua (LuaHookTranslateName e LuaHookQuickHandler) vengano configurati in, e htaccess dove la configurazione sarebbe stata ignorata.
• mod_lua: Resolve & quot; tenta di indicizzare localmente 'r' (un valore userdata) & quot; errori negli script di LuaMapHandler
• mod_log_debug: rinomina l'argomento facoltativo da if = a expr =, per essere più in linea con altre direttive di configurazione.
• mod_headers: richiede un'espressione da specificare con expr =, per essere più in linea con altre direttive di configurazione.
• mod_substitute: per evitare l'uso eccessivo della memoria, limitare la lunghezza della linea a 1 MB.
• mod_lua: crea la stringa di query (r.args) scrivibile.
• mod_include: aggiungi il supporto per la codifica e la decodifica application / x-www-form-urlencoded.
• rotatelogs: aggiungi l'opzione -c per forzare la creazione del file di log in ogni intervallo di rotazione, anche se vuoto.
• core: Limita ap_pregsub () a 64K, aggiungi ap_pregsub_ex () per stringhe più lunghe.
• mod_session_crypto: Refactor per supportare la nuova API apr_crypto.
• http: aggiungi intestazione di posizione mancante se il percorso URL locale viene utilizzato come ErrorDocument per 30x.
• mod_buffer: assicurati di eseguire il downward per subrequest, ma non per i reindirizzamenti interni attivati ​​da mod_rewrite.
• mod_lua: aggiungi r: construct_url come wrapper per ap_construct_url.
• mod_remote_ip: correzione della configurazione dei proxy interni. PR 49272.
• mpm_winnt: gestisce correttamente la modalità 'none' di AcceptFilter; risolvere l'endpoint IP del server specifico e l'IP del client remoto al momento della connessione.
• mod_setenvif: rimuovi la corrispondenza OID che è obsoleta da SetEnvIfExpr con PeerExtList ().
• mpm_prefork, mpm_worker, mpm_event: se un bambino viene creato poco prima del riavvio regolare e quindi esce a causa di un file di blocco mancante, non arrestare l'intero server. PR 39311.
• mpm_event: controlla il valore restituito da ap_run_create_connection. PR: 41194.
• mod_mime_magic: aggiungi firme per PNG e SWF alla configurazione di esempio. PR: 48352.
• core, unixd: aggiungi l'opzione -D DUMP_RUN_CFG per scaricare alcuni elementi di configurazione dalla configurazione analizzata (o predefinita). Questo è utile per gli script di init che devono impostare directory e permessi temporanei.
• core, mod_actions, mod_asis: esegue il downgrade dei messaggi del log degli errori che accompagnano lo stato di una richiesta 404 dall'errore loglevel alle informazioni. PR: 35768.
• core: aggiusta l'ordinamento degli hook con i moduli Perl. PR: 45076.
• core: applica LimitRequestFieldSize dopo che sono state unite più intestazioni con lo stesso nome.
• mod_ssl: se MaxMemFree è impostato, chiedi a OpenSSL & gt; = 1.0.0 per ridurre l'utilizzo della memoria. PR 51618.
• mod_ssl: all'avvio, quando si controlla un certificato del server che corrisponda al ServerName configurato, si prendono anche le voci dNSName nell'estensione subjectAltName. PR 32652, PR 47051.
• mod_substitute: riduce l'utilizzo della memoria e la copia dei dati. PR 50559.
• mod_ssl / proxy: abilita l'estensione SNI per le connessioni TLS back-end
• Aggiungi wrapper per malloc, calloc, realloc che controllano la mancanza di memoria e le usano in molti posti. PR 51568, PR 51569, PR 51571.
• Correggere la compilazione incrociata di mod_cgi / mod_cgid quando APR_HAVE_STRUCT_RLIMIT è falso ma RLIMIT_ * sono definiti. PR51371.
• core: obbedire correttamente a ServerName / ServerAlias ​​se l'intestazione dell'Host della richiesta corrisponde all'indirizzo VirtualHost. PR 51709.
• mod_unique_id: utilizza il generatore di numeri casuali per inizializzare il contatore. PR 45110.
• core: aggiungi convenienza API per apr_random.
• core: aggiungi le direttive MaxRangeOverlaps e MaxRangeReversals per controllare il numero di intervalli di sovrapposizione e inversione (rispettivamente) consentiti prima di restituire l'intera risorsa, con un limite predefinito di 20.
• mod_ldap: funzione opzionale uldap_ssl_supported (r) ha sempre restituito false se chiamato da un host virtuale con direttive mod_ldap in esso. Non ha influito sull'uso di mod_authnz_ldap di mod_ldap.
• mod_filter: anziché rilasciare l'intestazione Accept-Ranges quando è presente un filtro registrato con AP_FILTER_PROTO_NO_BYTERANGE, impostare il valore dell'intestazione su & quot; none & quot;.
• core: consenti MaxRanges none | unlimited | default e imposti "Accept-Ranges: none" nel caso in cui gli intervalli vengano ignorati con MaxRanges none.
• mod_ssl: consente di rinnovare il controllo di revoche basato su CRL durante la convalida dei certificati dei client o dei server proxy. Delega completamente l'elaborazione CRL a OpenSSL e aggiungi una nuova direttiva [Proxy] CARevocationCheck per il controllo della modalità di controllo di revoca.
• core: aggiungi la direttiva MaxRanges per controllare il numero di intervalli consentiti prima di restituire l'intera risorsa, con un limite predefinito di 200.
• mod_cache: assicurati che CacheDisable possa apparire correttamente all'interno di un LocationMatch.
• mod_cache: corregge lo spostamento del filtro CACHE, che erroneamente si fermava se il filtro originale non veniva aggiunto dalla configurazione.
• mod_ssl: migliora la registrazione degli errori dei certificati. PR 47408.
• mod_authz_groupfile: aumenta il limite di lunghezza delle linee nel file di gruppo a 16 MB. PR 43084.
• core: aumenta il limite di lunghezza delle righe nel file di configurazione a 16 MB. PR 45888. PR 50824.
• core: aggiungi API per i buffer ridimensionabili.
• mod_ldap: abilita LDAPConnectionTimeout per i toolkit LDAP che hanno LDAP_OPT_CONNECT_TIMEOUT anziché LDAP_OPT_NETWORK_TIMEOUT, come Tivoli Directory Server 6.3 e versioni successive.
• mod_ldap: modifica il numero predefinito di tentativi da 10 a 3 e aggiungi le direttive LDAPRetries e LDAPRetryDelay.
• mod_authnz_ldap: non riprovare durante l'autenticazione, perché questo semplicemente moltiplica gli ampi tentativi già fatti da mod_ldap.
• configure: consenti di disattivare esplicitamente i moduli anche con la selezione del modulo 'reallyall'.
• mod_rewrite: verifica la validità di ogni interna (int :) RewriteMap anche se RewriteEngine è disabilitato nel contesto del server, evitando un arresto anomalo mentre si fa riferimento a int: map in runtime non valido. PR 50994.
• mod_ssl, configure: richiede OpenSSL 0.9.7 o successivo.
• mod_ssl: rimuove il livello ssl_toolkit_compat.
• mod_ssl, configura, ab: rilascia il supporto per RSA BSAFE SSL-C toolkit.
• mod_usertrack: Esegui mod_usertrack in precedenza nell'hook fixup per assicurarti che il cookie sia impostato quando moduli come mod_rewrite attivano un reindirizzamento. Utilizza anche r- & gt; err_headers_out per il cookie, per lo stesso motivo. PR29755.
• mod_proxy_http, mod_proxy_connect: aggiunge le note di richiesta "proxy-status" e "proxy-source-port" per la registrazione. PR 30195.
• configure: abilita i moduli ldap nelle selezioni 'all' e 'most' se ldap è compilato in apr-util.
• core: aggiungi ap_check_cmd_context () - controlla se un comando è eseguito nel file .htaccess.
• mod_deflate: corregge il ciclo infinito se il primo bucket è metadata. PR 51590.
• mod_authn_socache: correzione per lavorare in .htaccess se non configurato ovunque in httpd.conf e introdurre una direttiva AuthnCacheEnable. PR 51991
• mod_xml2enc: nuovo modulo (precedentemente di terze parti) che supporta l'internazionalizzazione per i filtri tramite lo sniffing e la conversione di charset intelligente.
• mod_proxy_html: nuovo modulo (precedentemente di terze parti) per correggere i collegamenti HTML in una situazione di proxy inverso, in cui un back-end genera URL non risolvibili dai client.

Novità nella versione 2.3.12 Beta:

• Questa versione include Apache Portable Runtime (APR ) versione 1.4.5 e APR-Util versione 1.3.12 in un tarball separato -deps. Le librerie APR devono essere aggiornate per tutte le funzionalità di httpd per funzionare correttamente.