]> granicus.if.org Git - apache/blob - CHANGES
* According to RFC 2616 8.2.3 we are not allowed to forward an
[apache] / CHANGES
1                                                         -*- coding: utf-8 -*-
2 Changes with Apache 2.3.0
3 [ When backported to 2.2.x, remove entry from this file ]
4
5   *) mod_proxy_http: Do not forward requests with 'Expect: 100-continue' to
6      known HTTP/1.0 servers. Return 'Expectation failed' (417) instead.
7      [Ruediger Pluem]
8
9   *) core, authn/z: Determine registered authn/z providers directly in
10      ap_setup_auth_internal(), which allows optional functions that just
11      wrapped ap_list_provider_names() to be removed from authn/z modules.
12      [Chris Darroch]
13
14   *) authn/z: Convert common provider version strings to macros.
15      [Chris Darroch]
16
17   *) ab: Make ab.c compile on VC6. PR 45024 [Ruediger Pluem]
18
19   *) configure: Don't reject libtool 2.x
20      PR 44817 [Arfrever Frehtes Taifersar Arahesis <Arfrever.FTA gmail.com>]
21
22   *) core: When testing for slash-terminated configuration paths in
23      ap_location_walk(), don't look past the start of an empty string
24      such as that created by a <Location ""> directive.
25      [Chris Darroch]
26
27   *) core, mod_proxy: If a kept_body is present, it becomes safe for
28      subrequests to support message bodies. Make sure that safety
29      checks within the core and within the proxy are not triggered
30      when kept_body is present. This makes it possible to embed
31      proxied POST requests within mod_include. [Graham Leggett]
32
33   *) mod_auth_form: Make sure the input filter stack is properly set
34      up before reading the login form. Make sure the kept body filter
35      is correctly inserted to ensure the body can be read a second
36      time safely should the authn be successful. [Graham Leggett,
37      Ruediger Pluem]
38
39   *) mod_request: Insert the KEPT_BODY filter via the insert_filter
40      hook instead of during fixups. Add a safety check to ensure the
41      filters cannot be inserted more than once. [Graham Leggett,
42      Ruediger Pluem]
43
44   *) core: Do not allow Options ALL if not all options are allowed to be
45      overwritten. PR 44262 [Michał Grzędzicki <lazy iq.pl>]
46
47   *) ap_cache_cacheable_headers_out() will (now) always
48      merge an error heaeders _before_ clearing them and _before_
49      merging in the actual entity headers and doing normal
50      hop-by-hop cleansing. [Dirk-Willem van Gulik].
51
52   *) cache: retire ap_cache_cacheable_hdrs_out() which was used
53      for both in- and out-put headers; and replace it by a single
54      ap_cache_cacheable_headers() wrapped in a in- and out-put
55      specific ap_cache_cacheable_headers_in()/out(). The latter
56      which will also merge error and ensure content-type. To keep
57      cache modules consistent with ease. This API change bumps
58      up the minor MM by one [Dirk-Willem van Gulik].
59
60   *) mod_rewrite: Allow Cookie option to set secure and HttpOnly flags.
61      PR 44799 [Christian Wenz <christian wenz.org>]
62
63   *) Move the KeptBodySize directive, kept_body filters and the
64      ap_parse_request_body function out of the http module and into a
65      new module called mod_request, reducing the size of the core.
66      [Graham Leggett]
67
68   *) mod_dbd: Handle integer configuration directive parameters with a
69      dedicated function.
70
71   *) Change the directives within the mod_session* modules to be valid
72      both inside and outside the location/directory sections, as
73      suggested by wrowe. [Graham Leggett]
74
75   *) mod_auth_form: Add a module capable of allowing end users to log
76      in using an HTML form, storing the credentials within mod_session.
77      [Graham Leggett]
78
79   *) Add a function to the http filters that is able to parse an HTML
80      form request with the type of application/x-www-form-urlencoded.
81      [Graham Leggett]
82
83   *) mod_session_crypto: Initialise SSL in the post config hook.
84      [Ruediger Pluem, Graham Leggett]
85
86   *) mod_session_dbd: Add a session implementation capable of storing
87      session information in a SQL database via the dbd interface. Useful
88      for sites where session privacy is important. [Graham Leggett]
89
90   *) mod_session_crypto: Add a session encoding implementation capable
91      of encrypting and decrypting sessions wherever they may be stored.
92      Introduces a level of privacy when sessions are stored on the
93      browser. [Graham Leggett]
94
95   *) mod_session_cookie: Add a session implementation capable of storing
96      session information within cookies on the browser. Useful for high
97      volume sites where server bound sessions are too resource intensive.
98      [Graham Leggett]
99
100   *) mod_session: Add a generic session interface to unify the different
101      attempts at saving persistent sessions across requests.
102      [Graham Leggett]
103
104   *) core, authn/z: Avoid calling access control hooks for internal requests
105      with configurations which match those of initial request.  Revert to
106      original behaviour (call access control hooks for internal requests
107      with URIs different from initial request) if any access control hooks or
108      providers are not registered as permitting this optimization.
109      Introduce wrappers for access control hook and provider registration
110      which can accept additional mode and flag data.  [Chris Darroch]
111
112   *) Introduced ap_expr API for expression evaluation.
113      This is adapted from mod_include, which is the first module
114      to use the new API.
115      [Nick Kew]
116
117   *) mod_authz_dbd: When redirecting after successful login/logout per
118      AuthzDBDRedirectQuery, do not report authorization failure, and use
119      first row returned by database query instead of last row.
120      [Chris Darroch]
121
122   *) mod_ldap: Correctly return all requested attribute values
123      when some attributes have a null value. 
124      PR 44560 [Anders Kaseorg <anders kaseorg.com>]
125
126   *) core: check symlink ownership if both FollowSymlinks and
127      SymlinksIfOwnerMatch are set [Nick Kew]
128
129   *) core: fix origin checking in SymlinksIfOwnerMatch
130      PR 36783 [Robert L Mathews <rob-apache.org.bugs tigertech.net>]
131
132   *) Activate mod_cache, mod_file_cache and mod_disc_cache as part of the
133      'most' set for '--enable-modules' and '--enable-shared-mods'. Include 
134      mod_mem_cache in 'all' as well. [Dirk-Willem van Gulik]
135
136   *) Also install mod_so.h, mod_rewrite.h and mod_cache.h; as these
137      contain public function declarations which are useful for
138      third party module authors. PR 42431 [Dirk-Willem van Gulik].
139
140   *) mod_dir, mod_negotiation: pass the output filter information
141      to newly created sub requests; as these are later on used
142      as true requests with an internal redirect. This allows for
143      mod_cache et.al. to trap the results of the redirect. 
144      [Dirk-Willem van Gulik, Ruediger Pluem]
145
146   *) mod_ldap: Add support (taking advantage of the new APR capability)
147      for ldap rebind callback while chasing referrals. This allows direct
148      searches on LDAP servers (in particular MS Active Directory 2003+)
149      using referrals without the use of the global catalog.
150      PRs 26538, 40268, and 42557 [Paul J. Reder]
151
152   *) Support chroot on Unix-family platforms
153      PR 43596 [Dimitar Pashev <mitko banksoft-bg.com>]
154
155   *) mod_ssl: Added server name indication support (SNI, RFC 4366).
156      PR 34607. [Kaspar Brand <asfbugz velox.ch>]. A test configuration
157      can be created with test/make_sni.sh [Dirk-Willem van Gulik].
158
159   *) ApacheMonitor.exe: Introduce --kill argument for use by the
160      installer.  This will permit the installation tool to remove
161      all running instances before attempting to remove the .exe.
162      [William Rowe]
163
164   *) mod_ssl: Add support for OCSP validation of client certificates.
165      PR 41123.  [Marc Stern <marc.stern approach.be>, Joe Orton]
166
167   *) mod_unique_id: Fix timestamp value in UNIQUE_ID.
168      PR 37064 [Kobayashi <kobayashi firstserver.co.jp>]
169
170   *) mod_serf: New module for Reverse Proxying. [Paul Querna]
171
172   *) core: Add the option to keep aside a request body up to a certain
173      size that would otherwise be discarded, to be consumed by filters
174      such as mod_include. When enabled for a directory, POST requests
175      to shtml files can be passed through to embedded scripts as POST
176      requests, rather being downgraded to GET requests. [Graham Leggett]
177
178   *) mod_ssl: Fix TLS upgrade (RFC 2817) support.  PR 41231.  [Joe Orton]
179
180   *) scoreboard: Correctly declare ap_time_process_request.
181      PR 43789 [Tom Donovan <Tom.Donovan acm.org>]
182
183   *) core; scoreboard: ap_get_scoreboard_worker(sbh) now takes the sbh member
184      from the connection rec, ap_get_scoreboard_worker(proc, thread) will now
185      provide the unusual legacy lookup.  [William Rowe]
186
187   *) mpm winnt: fix null pointer dereference
188      PR 42572 [Davi Arnaut]
189
190   *) mod_authnz_ldap, mod_authn_dbd: Tidy up the code to expose authn
191      parameters to the environment. Improve portability to
192      EBCDIC machines by using apr_toupper(). [Martin Kraemer]
193
194   *) mod_ldap, mod_authnzldap: Add support for nested groups (i.e. the ability
195      to authorize an authenticated user via a "require ldap-group X" directive
196      where the user is not in group X, but is in a subgroup contained in X.
197      PR 42891 [Paul J. Reder]
198
199   *) mod_ssl: Add support for caching SSL Sessions in memcached. [Paul Querna]
200
201   *) mod_ldap: Fix the search limit parameter to ldap_search_ext_s()
202      for SDKs that define LDAP_NO_LIMIT to something other than -1.
203      [David Jones <oscaremma gmail.com>]
204
205   *) apxs: Enhance -q flag to print all known variables and their values
206      when invoked without variable name(s). 
207      [William Rowe, Sander Temme]
208
209   *) apxs: Eliminate run-time check for mod_so.  PR 40653.
210      [David M. Lee <dmlee crossroads.com>]
211
212   *) beos MPM: Create pmain pool and run modules' child_init hooks when
213      entering ap_mpm_run(), then destroy pmain when exiting ap_mpm_run().
214      [Chris Darroch]
215
216   *) netware MPM: Destroy pmain pool when exiting ap_mpm_run() so that
217      cleanups registered in modules' child_init hooks are performed.
218      [Chris Darroch]
219
220   *) mod_dbd: Stash DBD connections in request_config of initial request
221      only, or else sub-requests and internal redirections may cause
222      entire DBD pool to be stashed in a single HTTP request.  [Chris Darroch]
223
224   *) Fix issue which could cause error messages to be written to access logs
225      on Win32.  PR 40476.  [Tom Donovan <Tom.Donovan acm.org>]
226
227   *) The LockFile directive, which specifies the location of
228      the accept() mutex lockfile, is deprecated. Instead, the
229      AcceptMutex directive now takes an optional lockfile
230      location parameter, ala SSLMutex. [Jim Jagielski]
231
232   *) mod_authn_dbd: Export any additional columns queried in the SQL select
233      into the environment with the name AUTHENTICATE_<COLUMN>. This brings
234      mod_authn_dbd behaviour in line with mod_authnz_ldap. [Graham Leggett]
235
236   *) mod_dbd: Key the storage of prepared statements on the hex string
237      value of server_rec, rather than the server name, as the server name
238      may change (eg when the server name is set) at any time, causing
239      weird behaviour in modules dependent on mod_dbd. [Graham Leggett]
240
241   *) mod_proxy_fcgi: Added win32 build. [Mladen Turk]
242
243   *) sendfile_nonblocking() takes the _brigade_ as an argument, gets 
244      the first bucket from the brigade, finds it not to be a FILE
245      bucket and barfs. The fix is to pass a bucket rather than a brigade.
246      [Niklas Edmundsson <nikke acc.umu.se>]
247
248   *) mod_rewrite: support rewritemap by SQL query [Nick Kew]
249
250   *) ap_get_server_version() has been removed.  Third-party modules must 
251      now use ap_get_server_banner() or ap_get_server_description().
252      [Jeff Trawick]
253
254   *) All MPMs: Introduce a check_config phase between pre_config and
255      open_logs, to allow modules to review interdependent configuration
256      directive values and adjust them while messages can still be logged
257      to the console.  Handle relevant MPM directives during this phase
258      and format messages for both the console and the error log, as
259      appropriate.  [Chris Darroch]
260
261   *) mod_proxy: don't URLencode tilde in path component
262      [Stijn Hoop <stijn sandcat.nl>]
263
264   *) mpm_winnt: Fix return values from wait_for_many_objects.
265      The return value is index to the signaled thread in the
266      creted_threads array. We can not use WAIT_TIMEOUT because
267      his value is defined as 258, thus limiting the MaxThreads
268      to that value. [Mladen Turk]
269
270   *) core: Do not allow internal redirects like the DirectoryIndex of mod_dir
271      to circumvent the symbolic link checks imposed by FollowSymLinks and
272      SymLinksIfOwnerMatch. [Nick Kew, Ruediger Pluem, William Rowe]
273
274   *) mod_proxy: Support environment variable interpolation in reverse
275      proxying directives. [Nick Kew]
276
277   *) core: Add the filename of the configuration file to the warning message
278      about the useless use of AllowOverride. PR 39992.
279      [Darryl Miles <darryl darrylmiles.org>]
280
281   *) New SSLLogLevelDebugDump [ None (default) | IO (not bytes) | Bytes ]
282      configures the I/O Dump of SSL traffic, when LogLevel is set to Debug.
283      The default is none as this is far greater debugging resolution than 
284      the typical administrator is prepared to untangle.  [William Rowe]
285
286   *) mod_disk_cache: If possible, check if the size of an object to cache is
287      within the configured boundaries before actually saving data.
288      [Niklas Edmundsson <nikke acc.umu.se>]
289
290   *) mod_cache: Convert all values to seconds before comparing them when
291      checking whether to send a Warning header for a stale response.
292      PR 39713. [Owen Taylor <otaylor redhat.com>]
293
294   *) mod_disk_cache: Delete temporary files if they cannot be renamed to their
295      final name. [Davi Arnaut <davi haxent.com.br>]
296
297   *) Worker and event MPMs: Remove improper scoreboard updates which were
298      performed in the event of a fork() failure.  [Chris Darroch]
299
300   *) Add support for fcgi:// proxies to mod_rewrite.
301      [Markus Schiegl <ms schiegl.com>]
302
303   *) Remove incorrect comments from scoreboard.h regarding conditional
304      loading of worker_score structure with mod_status, and remove unused
305      definitions relating to old life_status field.
306      [Chris Darroch <chrisd pearsoncmg.com>]
307
308   *) Remove allocation of memory for unused array of lb_score pointers
309      in ap_init_scoreboard().  [Chris Darroch <chrisd pearsoncmg.com>]
310
311   *) Add mod_proxy_fcgi, a FastCGI back end for mod_proxy.
312      [Garrett Rooney, Jim Jagielski, Paul Querna]
313
314   *) Event MPM: Fill in the scoreboard's tid field. PR 38736.
315      [Chris Darroch <chrisd pearsoncmg.com>]
316
317   *) mod_charset_lite: Remove Content-Length when output filter can 
318      invalidate it.  Warn when input filter can invalidate it.
319      [Jeff Trawick]
320
321   *) Authz: Add the new module mod_authn_core that will provide common
322      authn directives such as 'AuthType', 'AuthName'.  Move the directives
323      'AuthType' and 'AuthName' out of the core module and merge mod_authz_alias 
324      into mod_authn_core. [Brad Nicholes]
325
326   *) Authz: Move the directives 'Order', 'Allow', 'Deny' and 'Satisfy' 
327      into the new module mod_access_compat which can be loaded to provide 
328      support for these directives.
329      [Brad Nicholes]
330
331   *) Authz: Move the 'Require' directive from the core module as well as 
332      add the directives '<SatisfyAll>', '<SatisfyOne>', '<RequireAlias>' 
333      and 'Reject' to mod_authz_core. The new directives introduce 'AND/OR' 
334      logic into the authorization processing. [Brad Nicholes]
335
336   *) Authz: Add the new module mod_authz_core which acts as the 
337      authorization provider vector and contains common authz 
338      directives. [Brad Nicholes]
339
340   *) Authz: Renamed mod_authz_dbm authz providers from 'group' and 
341      'file-group' to 'dbm-group' and 'dbm-file-group'. [Brad Nicholes]
342
343   *) Authz: Added the new authz providers 'env', 'ip', 'host', 'all' to handle
344      host-based access control provided by mod_authz_host and invoked 
345      through the 'Require' directive. [Brad Nicholes]
346
347   *) Authz: Convert all of the authz modules from hook based to 
348      provider based. [Brad Nicholes]
349
350   *) mod_cache: Add CacheMinExpire directive to set the minimum time in
351      seconds to cache a document.
352      [Brian Akins <brian.akins turner.com>, Ruediger Pluem]
353
354   *) mod_authz_dbd: SQL authz with Login/Session support [Nick Kew]
355
356   *) Fix typo in ProxyStatus syntax error message.
357      [Christophe Jaillet <christophe.jaillet wanadoo.fr>]
358
359   *) Asynchronous write completion for the Event MPM.  [Brian Pane]
360
361   *) Added an End-Of-Request bucket type.  The logging of a request and
362      the freeing of its pool are now done when the EOR bucket is destroyed.
363      This has the effect of delaying the logging until right after the last
364      of the response is sent; ap_core_output_filter() calls the access logger
365      indirectly when it destroys the EOR bucket.  [Brian Pane]
366
367   *) Rewrite of logresolve support utility: IPv6 addresses are now supported
368      and the format of statistical output has changed. [Colm MacCarthaigh]
369
370   *) Rewrite of ap_coreoutput_filter to do nonblocking writes  [Brian Pane]
371
372   *) Added new connection states for handler and write completion
373      [Brian Pane]
374
375   *) mod_cgid: Refuse to work on Solaris 10 due to OS bugs.  PR 34264.
376      [Justin Erenkrantz]
377
378   *) Teach mod_ssl to use arbitrary OIDs in an SSLRequire directive,
379      allowing string-valued client certificate attributes to be used for
380      access control, as in: SSLRequire "value" in OID("1.3.6.1.4.1.18060.1")
381      [Martin Kraemer, David Reid]
382
383   [Apache 2.1.0-dev includes those bug fixes and changes with the
384    Apache 2.2.xx tree as documented, and except as noted, below.]
385
386 Changes with Apache 2.2.x and later:
387
388   *) http://svn.apache.org/viewvc/httpd/httpd/branches/2.2.x/CHANGES?view=markup
389
390 Changes with Apache 2.0.x and later:
391
392   *) http://svn.apache.org/viewvc/httpd/httpd/branches/2.0.x/CHANGES?view=markup
393
394 Changes with Apache 1.3.x and later:
395
396   *) http://svn.apache.org/viewvc/httpd/httpd/branches/1.3.x/src/CHANGES?view=markup