granicus.if.org Git - apache/blob - CHANGES

   1                                                         -*- coding: utf-8 -*-
   2 Changes with Apache 2.3.0
   3 [ When backported to 2.2.x, remove entry from this file ]
   4
   5   *) SECURITY: CVE-2007-6388 (cve.mitre.org)
   6      mod_status: Ensure refresh parameter is numeric to prevent
   7      a possible XSS attack caused by redirecting to other URLs.
   8      Reported by SecurityReason.  [Mark Cox, Joe Orton]
   9
  10   *) SECURITY: CVE-2007-6421 (cve.mitre.org)
  11      mod_proxy_balancer: Correctly escape the worker route and the worker
  12      redirect string in the HTML output of the balancer manager.
  13      Reported by SecurityReason. [Ruediger Pluem]
  14
  15   *) SECURITY: CVE-2007-6422 (cve.mitre.org)
  16      Prevent crash in balancer manager if invalid balancer name is passed
  17      as parameter. Reported by SecurityReason. [Ruediger Pluem]
  18
  19   *) mod_dav: Adjust etag generation to produce identical results on 32-bit
  20      and 64-bit platforms and avoid a regression with conditional PUT's on lock
  21      and etag. PR 44152.
  22      [Michael Clark <michael metaparadigm.com>, Ruediger Pluem]
  23
  24   *) mod_deflate: Transform ETag when transforming the entity.
  25      PR 39727 [Henrik Nordstrom <hno squid-cache.org>, Nick Kew]
  26
  27   *) Add explicit charset to the output of various modules to work around
  28      possible cross-site scripting flaws affecting web browsers that do not
  29      derive the response character set as required by  RFC2616.  One of these
  30      reported by SecurityReason [Joe Orton]
  31
  32   *) mod_ssl: Added server name indication support (RFC 4366).
  33      PR 34607. [Kaspar Brand <asfbugz velox.ch>]
  34
  35   *) ApacheMonitor.exe: Introduce --kill argument for use by the
  36      installer.  This will permit the installation tool to remove
  37      all running instances before attempting to remove the .exe.
  38      [William Rowe]
  39
  40   *) mod_proxy: Lower memory consumption for short lived connections.
  41      PR 44026. [Ruediger Pluem]
  42
  43   *) mod_proxy: Keep connections to the backend persistent in the HTTPS case.
  44      [Ruediger Pluem]
  45
  46   *) rotatelogs: Improve atomicity when using -l and cleaup code.
  47      PR 44004 [Rainer Jung]
  48
  49   *) mod_ssl: Add support for OCSP validation of client certificates.
  50      PR 41123.  [Marc Stern <marc.stern approach.be>, Joe Orton]
  51
  52   *) mod_unique_id: Fix timestamp value in UNIQUE_ID.
  53      PR 37064 [Kobayashi <kobayashi firstserver.co.jp>]
  54
  55   *) mod_serf: New module for Reverse Proxying. [Paul Querna]
  56
  57   *) core: Add the option to keep aside a request body up to a certain
  58      size that would otherwise be discarded, to be consumed by filters
  59      such as mod_include. When enabled for a directory, POST requests
  60      to shtml files can be passed through to embedded scripts as POST
  61      requests, rather being downgraded to GET requests. [Graham Leggett]
  62
  63   *) mod_ssl: Fix TLS upgrade (RFC 2817) support.  PR 41231.  [Joe Orton]
  64
  65   *) scoreboard: Correctly declare ap_time_process_request.
  66      PR 43789 [Tom Donovan <Tom.Donovan acm.org>]
  67
  68   *) core; scoreboard: ap_get_scoreboard_worker(sbh) now takes the sbh member
  69      from the connection rec, ap_get_scoreboard_worker(proc, thread) will now
  70      provide the unusual legacy lookup.  [William Rowe]
  71
  72   *) mpm winnt: fix null pointer dereference
  73      PR 42572 [Davi Arnaut]
  74
  75   *) core: reinstate location walk to fix config for subrequests
  76      PR 41960 [Jose Kahan <jose w3.org>]
  77
  78   *) mod_log_config: Add format options for %p so that the actual local
  79      or remote port can be logged.  PR 43415.  [Adam Hasselbalch Hansen
  80      <ahh@one.com>, Ruediger Pluem, Jeff Trawick]
  81
  82   *) mod_authnz_ldap, mod_authn_dbd: Tidy up the code to expose authn
  83      parameters to the environment. Improve portability to
  84      EBCDIC machines by using apr_toupper(). [Martin Kraemer]
  85
  86   *) mod_ldap, mod_authnzldap: Add support for nested groups (i.e. the ability
  87      to authorize an authenticated user via a "require ldap-group X" directive
  88      where the user is not in group X, but is in a subgroup contained in X.
  89      PR 42891 [Paul J. Reder]
  90
  91   *) mod_ssl: Add support for caching SSL Sessions in memcached. [Paul Querna]
  92
  93   *) ab: Add -r option to continue after socket receive errors.
  94      [Filip Hanik <devlist hanik.com>]
  95
  96   *) mod_ldap: Fix the search limit parameter to ldap_search_ext_s()
  97      for SDKs that define LDAP_NO_LIMIT to something other than -1.
  98      [David Jones <oscaremma gmail.com>]
  99
 100   *) apxs: Enhance -q flag to print all known variables and their values
 101      when invoked without variable name(s).
 102      [William Rowe, Sander Temme]
 103
 104   *) apxs: Eliminate run-time check for mod_so.  PR 40653.
 105      [David M. Lee <dmlee crossroads.com>]
 106
 107   *) beos MPM: Create pmain pool and run modules' child_init hooks when
 108      entering ap_mpm_run(), then destroy pmain when exiting ap_mpm_run().
 109      [Chris Darroch]
 110
 111   *) netware MPM: Destroy pmain pool when exiting ap_mpm_run() so that
 112      cleanups registered in modules' child_init hooks are performed.
 113      [Chris Darroch]
 114
 115   *) mod_dbd: Stash DBD connections in request_config of initial request
 116      only, or else sub-requests and internal redirections may cause
 117      entire DBD pool to be stashed in a single HTTP request.  [Chris Darroch]
 118
 119   *) Fix issue which could cause error messages to be written to access logs
 120      on Win32.  PR 40476.  [Tom Donovan <Tom.Donovan acm.org>]
 121
 122   *) The LockFile directive, which specifies the location of
 123      the accept() mutex lockfile, is deprecated. Instead, the
 124      AcceptMutex directive now takes an optional lockfile
 125      location parameter, ala SSLMutex. [Jim Jagielski]
 126
 127   *) mod_authn_dbd: Export any additional columns queried in the SQL select
 128      into the environment with the name AUTHENTICATE_<COLUMN>. This brings
 129      mod_authn_dbd behaviour in line with mod_authnz_ldap. [Graham Leggett]
 130
 131   *) mod_dbd: Key the storage of prepared statements on the hex string
 132      value of server_rec, rather than the server name, as the server name
 133      may change (eg when the server name is set) at any time, causing
 134      weird behaviour in modules dependent on mod_dbd. [Graham Leggett]
 135
 136   *) mod_proxy_fcgi: Added win32 build. [Mladen Turk]
 137
 138   *) sendfile_nonblocking() takes the _brigade_ as an argument, gets
 139      the first bucket from the brigade, finds it not to be a FILE
 140      bucket and barfs. The fix is to pass a bucket rather than a brigade.
 141      [Niklas Edmundsson <nikke acc.umu.se>]
 142
 143   *) mod_rewrite: support rewritemap by SQL query [Nick Kew]
 144
 145   *) ap_get_server_version() has been removed.  Third-party modules must
 146      now use ap_get_server_banner() or ap_get_server_description().
 147      [Jeff Trawick]
 148
 149   *) All MPMs: Introduce a check_config phase between pre_config and
 150      open_logs, to allow modules to review interdependent configuration
 151      directive values and adjust them while messages can still be logged
 152      to the console.  Handle relevant MPM directives during this phase
 153      and format messages for both the console and the error log, as
 154      appropriate.  [Chris Darroch]
 155
 156   *) mod_proxy: don't URLencode tilde in path component
 157      [Stijn Hoop <stijn sandcat.nl>]
 158
 159   *) mpm_winnt: Fix return values from wait_for_many_objects.
 160      The return value is index to the signaled thread in the
 161      creted_threads array. We can not use WAIT_TIMEOUT because
 162      his value is defined as 258, thus limiting the MaxThreads
 163      to that value. [Mladen Turk]
 164
 165   *) core: Do not allow internal redirects like the DirectoryIndex of mod_dir
 166      to circumvent the symbolic link checks imposed by FollowSymLinks and
 167      SymLinksIfOwnerMatch. [Nick Kew, Ruediger Pluem, William Rowe]
 168
 169   *) mod_proxy: Support environment variable interpolation in reverse
 170      proxying directives. [Nick Kew]
 171
 172   *) core: Add the filename of the configuration file to the warning message
 173      about the useless use of AllowOverride. PR 39992.
 174      [Darryl Miles <darryl darrylmiles.org>]
 175
 176   *) New SSLLogLevelDebugDump [ None (default) | IO (not bytes) | Bytes ]
 177      configures the I/O Dump of SSL traffic, when LogLevel is set to Debug.
 178      The default is none as this is far greater debugging resolution than
 179      the typical administrator is prepared to untangle.  [William Rowe]
 180
 181   *) mod_disk_cache: If possible, check if the size of an object to cache is
 182      within the configured boundaries before actually saving data.
 183      [Niklas Edmundsson <nikke acc.umu.se>]
 184
 185   *) mod_cache: Convert all values to seconds before comparing them when
 186      checking whether to send a Warning header for a stale response.
 187      PR 39713. [Owen Taylor <otaylor redhat.com>]
 188
 189   *) mod_disk_cache: Delete temporary files if they cannot be renamed to their
 190      final name. [Davi Arnaut <davi haxent.com.br>]
 191
 192   *) Worker and event MPMs: Remove improper scoreboard updates which were
 193      performed in the event of a fork() failure.  [Chris Darroch]
 194
 195   *) Add support for fcgi:// proxies to mod_rewrite.
 196      [Markus Schiegl <ms schiegl.com>]
 197
 198   *) Remove incorrect comments from scoreboard.h regarding conditional
 199      loading of worker_score structure with mod_status, and remove unused
 200      definitions relating to old life_status field.
 201      [Chris Darroch <chrisd pearsoncmg.com>]
 202
 203   *) Remove allocation of memory for unused array of lb_score pointers
 204      in ap_init_scoreboard().  [Chris Darroch <chrisd pearsoncmg.com>]
 205
 206   *) Add mod_proxy_fcgi, a FastCGI back end for mod_proxy.
 207      [Garrett Rooney, Jim Jagielski, Paul Querna]
 208
 209   *) Event MPM: Fill in the scoreboard's tid field. PR 38736.
 210      [Chris Darroch <chrisd pearsoncmg.com>]
 211
 212   *) mod_charset_lite: Remove Content-Length when output filter can
 213      invalidate it.  Warn when input filter can invalidate it.
 214      [Jeff Trawick]
 215
 216   *) Authz: Add the new module mod_authn_core that will provide common
 217      authn directives such as 'AuthType', 'AuthName'.  Move the directives
 218      'AuthType' and 'AuthName' out of the core module and merge mod_authz_alias
 219      into mod_authn_core. [Brad Nicholes]
 220
 221   *) Authz: Move the directives 'Order', 'Allow', 'Deny' and 'Satisfy'
 222      into the new module mod_access_compat which can be loaded to provide
 223      support for these directives.
 224      [Brad Nicholes]
 225
 226   *) Authz: Move the 'Require' directive from the core module as well as
 227      add the directives '<SatisfyAll>', '<SatisfyOne>', '<RequireAlias>'
 228      and 'Reject' to mod_authz_core. The new directives introduce 'AND/OR'
 229      logic into the authorization processing. [Brad Nicholes]
 230
 231   *) Authz: Add the new module mod_authz_core which acts as the
 232      authorization provider vector and contains common authz
 233      directives. [Brad Nicholes]
 234
 235   *) Authz: Renamed mod_authz_dbm authz providers from 'group' and
 236      'file-group' to 'dbm-group' and 'dbm-file-group'. [Brad Nicholes]
 237
 238   *) Authz: Added the new authz providers 'env', 'ip', 'host', 'all' to handle
 239      host-based access control provided by mod_authz_host and invoked
 240      through the 'Require' directive. [Brad Nicholes]
 241
 242   *) Authz: Convert all of the authz modules from hook based to
 243      provider based. [Brad Nicholes]
 244
 245   *) mod_cache: Add CacheMinExpire directive to set the minimum time in
 246      seconds to cache a document.
 247      [Brian Akins <brian.akins turner.com>, Ruediger Pluem]
 248
 249   *) mod_authz_dbd: SQL authz with Login/Session support [Nick Kew]
 250
 251   *) Fix typo in ProxyStatus syntax error message.
 252      [Christophe Jaillet <christophe.jaillet wanadoo.fr>]
 253
 254   *) Asynchronous write completion for the Event MPM.  [Brian Pane]
 255
 256   *) Added an End-Of-Request bucket type.  The logging of a request and
 257      the freeing of its pool are now done when the EOR bucket is destroyed.
 258      This has the effect of delaying the logging until right after the last
 259      of the response is sent; ap_core_output_filter() calls the access logger
 260      indirectly when it destroys the EOR bucket.  [Brian Pane]
 261
 262   *) Rewrite of logresolve support utility: IPv6 addresses are now supported
 263      and the format of statistical output has changed. [Colm MacCarthaigh]
 264
 265   *) Rewrite of ap_coreoutput_filter to do nonblocking writes  [Brian Pane]
 266
 267   *) Added new connection states for handler and write completion
 268      [Brian Pane]
 269
 270   *) mod_cgid: Refuse to work on Solaris 10 due to OS bugs.  PR 34264.
 271      [Justin Erenkrantz]
 272
 273   *) Teach mod_ssl to use arbitrary OIDs in an SSLRequire directive,
 274      allowing string-valued client certificate attributes to be used for
 275      access control, as in: SSLRequire "value" in OID("1.3.6.1.4.1.18060.1")
 276      [Martin Kraemer, David Reid]
 277
 278   [Apache 2.1.0-dev includes those bug fixes and changes with the
 279    Apache 2.2.xx tree as documented, and except as noted, below.]
 280
 281 Changes with Apache 2.2.x and later:
 282
 283   *) http://svn.apache.org/viewvc/httpd/httpd/branches/2.2.x/CHANGES?view=markup
 284
 285 Changes with Apache 2.0.x and later:
 286
 287   *) http://svn.apache.org/viewvc/httpd/httpd/branches/2.0.x/CHANGES?view=markup
 288
 289 Changes with Apache 1.3.x and later:
 290
 291   *) http://svn.apache.org/viewvc/httpd/httpd/branches/1.3.x/src/CHANGES?view=markup