Thema: Webserversoftware diverses ...

[SiLæncer]

Die Apache-Entwickler haben Version 2.2.0 ihres Opensource-Webservers freigegeben. Apache erreicht nach den Zahlen der Internet-Statistiker von Netcraft weltweit den bei weitem größten Marktanteil unter der Webserver-Software; für den November errechnete Netcraft einen Apache-Anteil von 70,98 Prozent bei allen Websites und von 69,36 Prozent bei den "Active Sites".

Änderungen in Apache 2.2.0 betreffen unter anderem die Konfiguration, die vereinfacht und modularisiert wurde. Ein neues Modul mod_proxy_balancer stellt Load-Balancing für das bekannte Proxy-Modul bereit.

Mit mod_filter realisierte Ausgabefilter lassen sich jetzt dynamisch konfigurieren, sodass man Filter abhängig von beliebigen Request- oder Response-Headern einfügen kann. Laut Meinung der Entwickler sind damit einige der Probleme bei der Anordnung der Filter in der Architektur des 2.0er-Apache beseitigt. Einen ausführlichen Artikel über die Filtermechanismen enthielt iX 7/2005.

Ein weiteres Modul namens mod_dbd verwaltet die Verbindungen zu SQL-Datenbanken und erlaubt "Connection Pooling". Bislang war es nur relativ aufwendig möglich, bestehende Verbindungen über mehrere HTTP-Requests hinaus zu nutzen ("persistent connection"). Da ihr Aufbau relativ zeitaufwendig ist, beschleunigen gemeinsam genutzte persistente Verbindungen die Auslieferung dynamischer Webseiten.

Apache 2.2.0 ist bei den üblichen Mirror-Servern erhältlich.

Quelle und Links : http://www.heise.de/newsticker/meldung/66890

[SiLæncer]

Der Apache-Webserver ist in der Version 2.2.13 erschienen. Die neue Version korrigiert ein paar Fehler und schließt eine Sicherheitslücke.
Die geschlossene Sicherheitslücke befand sich in der Apache Portable Runtime (APR). Zuvor war diese Bibliothek für mögliche Denial-of-Service-Angriffe anfällig. Außerdem haben die Entwickler Probleme behoben, durch die ein Segfault auftreten konnte.

Die neue Apache-Version verbessert zudem die Kompatibilität von mod_ssl mit den Betaversionen von OpenSSL 1.0.0. Die Änderungen sind auch im Changelog aufgeführt.

Der Apache-Webserver 2.2.13 steht auf der Projektseite zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

This version is principally a security and bugfix release.

http://httpd.apache.org/

[SiLæncer]

Apache liefert die Version 2.2.14 seines Webservers mit drei Security Updates und etlichen Bugfixes aus. Unter anderem wurden zwei Schwachstellen im Modul mod_ftp_proxy geschlossen und die Apache Runtime Library (ARL) auf die Version 1.3.9 gehoben. Damit soll eine Schwachstelle behoben werden, die einen laufenden Webserver auf Solaris-Systemen betrifft.

Der neue Patch in der ARL verhindert, dass sich prefork oder event MPMs auf Solaris Maschinen durch fehlerhaftes Error-Handling im Event-Port-Backend aufhängen. Ein Angreifer könnte die Schwachstelle für eine DoS-Attacke ausnutzen. Im Modul mod_ftp_proxy wurde die Anmeldungen (auth crendentials) überarbeitet, wodurch sich ein Angreifer unerlaubten Zutritt zu einem System verschaffen könnte. Außerdem wurde ein NULL-Pointer-Fehler behoben, der ebenfalls zu DoS-Attacken verwendet werden könnte.

Repariert wurde das Modul htdbm, in dem ein Buffer Overflow bei zu langen Einträgen in der dbm-Datenbank möglich war. Die Schwachstellen betreffen alle Versionen des Webservers 2.2.x.

Weitere Bugfixes betreffen unter Anderem das Caching im Module mod_ldap und eine unvollständige Fehlermeldung bei der SSLCertifikateFile-Abfrage im Modul mod_ssl. Eine komplette Liste aller Änderungen am Apache Web Server liegt auf den Apache Download-Mirrors vor.

Quelle : www.golem.de

[SiLæncer]

Nur kurz nach der Veröffentlichung der neuen Enterprise-Java-Spezifikation erscheint das neue Major-Release unter der Versionsnummer 2.2 des Apache-Applikationsservers Geronimo. Mit fast 19 Monaten Abstand zur Vorgängerversion enthält das neue Produkt neben einigen Fehlerkorrekturen und aktuellen Bibliotheksversionen vor allem kleine Funktionsverbesserungen. Dadurch darf Geronimo 2.2 als Zwischenschritt mit Zukunftsperspektive gelten.

Diese betreffen vor allem die Zusammenstellung eines maßgeschneiderten Geronimo nach eigenen Wünschen, Assemblies genannt, was die in Java EE 6.0 umgesetzten Profile umsetzt. Einen besonderen Schwerpunkt haben die Entwickler auf einen kompakteren und damit schneller startenden Server gelegt sowie auf bessere Cluster-Unterstützung mit WADI. Ebenso wurden die Werkzeugunterstützung mit einem erweiterten Funktionsumfang der GShell ergänzt und neue Plug-ins für OpenJPA 2.0 und die Administrationskonsole für ActiveMQ zur Verfügung gestellt.

Wichtig dürfte die Integration der aktuellen Versionen von Dojo 1.4, CXF 2.1, Axis2 1.5, OpenEJB 3.1, Derby 10.5, Jetty 7, Camel 2.0 und ActiveMQ 5.3 sein. Die Konfiguration von Tomcat hat sich in der aktuellen Version geändert, sollte jedoch die Migration von Tomcat zu Geronimo eher erleichtern. Eine wichtige Änderung betrifft die Umstellung von der commons-logging- auf die slf4j-Bibliothek, wodurch einige Probleme bei unterschiedlichen Logging-Produktversionen behoben sind. Als Standard-Implementierung wird nach wie vor log4J verwendet.

Durch die Unterstützung aktueller Standards (JAX-B 2.1, JAX-WS 2.1, JAX-RS 0.8, JPA 2.0 und teilweise EJB 3.1) lassen sich die Funktionen der Java-EE 6.0-Version nutzen. Die volle Zertifizierung und Unterstützung ist jedoch erst mit der Nachfolgeversion Geronimo 3.0 vorgesehen, die 2010 erscheinen soll und auch eine OSGi-Unterstützung auf Basis von Apache Karaf beziehungsweise Felix anbieten soll. (Frank Pientka)

Weitere Informationen zum Stand der Planung neuerer Geronimo-Versionen findet man im Geronimo-Wiki unter:

    * Apache Geronimo Release Roadmaps
    * Geronimo 2.2 Release Status
    * Geronimo 3.0 Release Roadmap
    * Java EE 6 Releases
    * Road map for JEE6 Web Profile

Quelle und Links : http://www.heise.de/newsticker/meldung/Apache-Geronimo-2-2-Zwischenschritt-mit-Zukunftsperspektive-872040.html

[SiLæncer]

Mit der Reparatur von zwei Fehlern läuten die Apache-Entwickler das Ende des Lebenszyklus der 1.3er Reihe des HTTP-Servers ein. Im Bedarfsfall soll es nur noch kritische Sicherheitsupdates geben.

Zu den im HTTP-Server von Apache behobenen Fehlern gehört ein Integer-Overflow-Fehler im Modul mod_proxy und eine Modifikation im Zusatzprogramm Logresolve. Es verhindert, dass fehlerhafte DNS-Records mit leeren Einträgen Logresolve ins Wackeln bringen.

Version 1.3.42 soll die letzte stabile Version der 1.3er reihe des HTTP-Servers werden. Die Entwickler raten auf die aktuelle Version 2.2 aufzurüsten und verweisen dazu auf eine Anleitung unter httpd.apache.org. Vor allem Apache-Versionen, die nicht auf Unix-basierten Systemen laufen, sollten unbedingt aktualisiert werden.

Kritische Sicherheitslücken werden für Version 1.3.42 nur noch im Bedarfsfall unter www.apache.org/dist/httpd/patches als Patch veröffentlicht. Unter httppd.apache.org steht die aktuelle Version zum Download zur Verfügung.

Quelle : www.golem.de

[SiLæncer]

Der "Apache HTTP Server" darf heute seinen 15. Geburtstag  feiern, zumindest nach der etwas eigentümlichen Rechnung der Begründer des Webservers. Zustande gekommen war der Apache durch die Erstellung einer "new-httpd"-Mailing-Liste am 23. Februar 1994 (!), in der über Erweiterungen und die Zukunft des Servers des NSCA (National Center for Supercomputing Applications) an der University of Illinois diskutiert werden sollte. Da die Version 1.0 des Webservers im Dezember 1995 (!) erschien, feiert die Apache Software Foundation den runden Geburtstag am heutigen Datum, was den einen oder anderen Glückwunsch in Richtung der Initiatoren und beteiligten Committer nach sich ziehen dürfte.

Ursprünglich war der indianische Name des schnell erfolgreichsten Web-Daemons Ausdruck dessen, was ihn charakterisierte: ein um Fehler bereinigter (a patchy) Server des NSCA. Die Arbeit an dem NSCA-Server war durch den Weggang des für den Server Verantwortlichen, Rob McCool, ins Stocken geraten, woraufhin eine Gruppe aus Webmastern beschloss, einen verbesserten Fork des vernachlässigten Servers zu starten. Die ersten Beteiligten der sich formierierenden Apache Group waren Brian Behlendorf, Roy Fielding, Rob Hartill, David Robinson, Cliff Skolnick, Randy Terbush, Robert Thau und Andrew Wilson.

Als Basis nahm man die Version 1.3 des NCSA-httpd-Server, und eine erste öffentlich verfügbare Version (0.6.2) des Apache erschien im April 1995. Im Dezember des gleichen Jahres folgte die Version 1.0 des Webservers, und rund ein halbes Jahr später löste der Apache den NSCA-Server als weltweite Nummer eins ab. 2001 konnte er auf einen Marktanteil von 60 Prozent verweisen, Ende 2005 waren es dann 70 Prozent. Heute zählt die Apache Software Foundation (ASF), die 1999 aus der Apache Group hervorging und mittlerweile knapp 140 Open-Source-Projekte beheimatet, mehr als 110 Millionen Websites, die mit dem Apache betrieben werden. Die ASF greift dabei auf aktuelle Zahlen von Netcrafts "Web Server Survey" zurück. Laut deren Statistiken kommt der Apache heute auf einen Anteil von 54,5 Prozent.

Anfang Februar hatte die Foundation bekannt gegeben, die Entwicklung für die Version 1.3, die seit 1998 freigegeben ist, einzustellen, und allen Anwendern empfohlen, auf die Version 2.2 umzusteigen. Aktuell ist die im Oktober vergangenen Jahres erschienene Version 2.2.14.

Quelle : www.heise.de

[SiLæncer]

Die aktualisierte Version 2.2.15 des Apache Webservers bringt Reparaturen mit. Vor allem haben sich die Entwickler des seit Herbst 2009 bekannten Fehlers im SSL-/TLS-Protokoll angenommen. Zusätzlich wurden zahlreiche Module repariert.

Das Apache-Team hat sich in der Version 2.2.15 den im Herbst 2009 bekanntgewordenen Fehler im SSL-/TLS-Protokolls vorgenommen und Reparaturen eingebaut. Für Versionen des HTTP-Servers, die mit der reparierten Version 0.98m von OpenSSL kompiliert wurden, haben die Entwickler zusätzlich die sogenannte SSLInsecureRenegotiation Direktive in das Modul mod_ssl integriert. Damit kann mit Apache wieder das unsichere SSL-/TLS-Renegotiation verwendet werden, wenn Clients das neuere Protokoll noch nicht beherrschen.

Gleichzeitig haben die Entwickler eine nach eigenem Bekunden partielle Reparatur der Sicherheitslücke integriert, die Neuaushandlungen von Verbindungen durch Clients verhindert. Genauer gesagt werden Verbindungen nicht aufrechterhalten, wenn sie gepufferte Daten enthalten. Allerdings bleibt in Apache-Versionen, die mit Versionen vor OpenSSL 0.9.8l kompiliert wurden, die Neuaushandlung per Verzeichnis/Standort weiterhin unsicher. Drei weitere Sicherheitsreparaturen erfuhren die Module mod_isapi und mod_proxy_ajp sowie der Server selbst, sie alle hatten allerdings nichts mit dem SSL-/TLS-Fehler zu tun.

Zahlreiche weitere Reparaturen betreffen Module des Webservers, unter anderem einen Fehler im Modul mod_proxy_ajp, das einen Verbindungsabbruch eines Clients besser abfängt, und im Modul mod_ssl, das einen potenziellen I/O-Hänger behebt. Eine komplette Liste aller Bugfixes findet sich im offiziellen Changelog. Der Quellcode der aktuellen Version liegt auf den Servern des Apache-Projekts zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

Mit Version 0.10.0 des Monkey HTTP Daemon betritt ein neues Webserver-Leichtgewicht für statische Inhalte die Open-Source-Bühne.

Für die Milestone-Release hat das Projekt nach eigenen Angaben 85 Prozent des bestehenden Codes innerhalb von zwei Jahren umgeschrieben. Das Resultat ist ein Webserver, der zum raschen und effizienten Ausliefern statischer Inhalte gedacht ist. Anfragen nach dynamischen Inhalten kann er an andere Server weitergeben. Monkey HTTP Daemon ist nur für Linux verfügbar, denn aus Performancegründen benützt der Server bestimmte Systemaufrufe, die nur der Linux-Kernel ab Version 2.6.28 kennt.

Der Monkey-Server verwendet beim Beantworten von HTTP-Anfragen ein hybrides Verfahren, das einen asynchronen Modus mit Fixed Threads kombiniert. Der Webserver unterstützt virtuelle Hosts und geht mit der Spezifikation HTTP/1.1 konform. Ein Plugin namens Cheetah stellt eine Shell zur Verwaltung des Servers zur Verfügung, ein Security-Plugin erlaubt sicherheitsrelevante Beschränkungen.

Monkey HTTP Daemon ist freie Software unter GPLv2. Auf der Homepage des Monkey-Projekts gibt es weitere Informationen sowie einen Quelltext-Tarball zum Download.

Quelle : www.linux-magazin.de

[SiLæncer]

Flexibel und schneller als Konkurrenten wie Lighttpd, Nginx und Apache soll der freie Webserver Cherokee sein, der in der Version 1.0 veröffentlicht wurde.

Mit der Veröffentlichung von Cherokee 1.0 will das Cherokee-Projekt eine echte Alternative zu Apache, Lighttpd und Nginx anbieten. Der freie Webserver unterstützt unter anderem FastCGI, SCGI, CGI, SSI, TLS und SSL, virtuelle Hosts, Authentifizierung, On-the-Fly-Encoding und Apache-kompatible Logfiles.

Die von den Entwicklern veröffentlichten Benchmarks sollen belegen, dass Cherokee schneller ist als Apache, Lighttpd und Nginx und bei gleicher Hardware mehr gleichzeitige Anfragen verarbeiten kann als die drei Konkurrenten.

Cherokee ist bereits Bestandteil der meisten Linux-Distributionen, läuft auch unter Mac OS X, FreeBSD und Solaris. Wizards sollen helfen, den Webserver zu konfigurieren und beispielsweise Python, PHP, Anti Hot Linking, PHPmyAdmin, Joomla oder Audio- und Videostreaming einzurichten. Die Version 1.0 wartet mit einer vollständig überarbeiten Administrationsoberfläche auf, die Arbeitsschritte vereinfachen soll. Die gesamte Konfiguration und Verwaltung des Webservers kann über diese Admin-Oberfläche abgewickelt werden.

Cherokee 1.0 steht unter der GPL v2 und kann ab sofort unter cherokee-project.com heruntergeladen werden.

Quelle : www.golem.de

[SiLæncer]

Die Entwickler der Webserver-Software Monkey http Daemon haben zwei kritische Schwachstellen bereinigt.

Version 0.10.3 bessert zwei als kritisch eingestufte Sicherheitslücken aus. Diese erlauben es Angreifern, den Daemon zum Absturz zu bringen (DoS). Der Dank für die Entdeckung der Schwachstellen geht an Rodrigo Escobar von DcLabs Security Group.

Monkey http Daemon ist ein schneller und leichtgewichtiger Webserver für Linux. Die Software wurde mit dem Ziel geschaffen, sehr skalierbar zu sein und dabei wenig Speicher und CPU-Power zu brauchen. Monkey http Daemon können sie als Quellcode im Download-Bereich der Projektseite herunterladen.

Quelle : www.tecchannel.de

[SiLæncer]

The Apache HTTP Server Project is proud to announce the release of version 2.2.16 of the Apache HTTP Server ("httpd"). This version is principally a security and bugfix release.

Notably, this release addresses CVE-2010-1452 (cve.mitre.org), a remote denial of service bug in mod_cache and mod_dav. This release further addresses the issue CVE-2010-2068 within mod_proxy_ajp, mod_proxy_http, mod_reqtimeout.

This version of httpd is a major release and the start of a new stable branch, and represents the best available version of Apache HTTP Server. New features include Smart Filtering, Improved Caching, AJP Proxy, Proxy Load Balancing, Graceful Shutdown support, Large File Support, the Event MPM, and refactored Authentication/Authorization.

Changes with Apache 2.2.16

  *) SECURITY: CVE-2010-1452 (cve.mitre.org)
     mod_dav, mod_cache: Fix Handling of requests without a path segment.
     PR: 49246 [Mark Drayton, Jeff Trawick]

  *) SECURITY: CVE-2010-2068 (cve.mitre.org)
     mod_proxy_ajp, mod_proxy_http, mod_reqtimeout: Fix timeout detection
     for platforms Windows, Netware and OS2.  PR: 49417. [Rainer Jung]

  *) core: Filter init functions are now run strictly once per request
     before handler invocation.  The init functions are no longer run
     for connection filters.  PR 49328.  [Joe Orton]

  *) mod_filter: enable it to act on non-200 responses.
     PR 48377 [Nick Kew]

  *) mod_ldap: LDAP caching was suppressed (and ldap-status handler returns
     title page only) when any mod_ldap directives were used in VirtualHost
     context.  [Eric Covener]

  *) mod_ssl: Fix segfault at startup if proxy client certs are shared
     across multiple vhosts.  PR 39915.  [Joe Orton]

  *) mod_proxy_http: Log the port of the remote server in various messages.
     PR 48812. [Igor Galić <i galic brainsware org>]

  *) apxs: Fix -A and -a options to ignore whitespace in httpd.conf
     [Philip M. Gollucci]

  *) mod_dir: add FallbackResource directive, to enable admin to specify
     an action to happen when a URL maps to no file, without resorting
     to ErrorDocument or mod_rewrite.  PR 47184 [Nick Kew]

  *) mod_rewrite: Allow to set environment variables without explicitely
     giving a value. [Rainer Jung]

http://httpd.apache.org/

[SiLæncer]

Code: [Auswählen]

Changelog
Tomcat 6.0.29 (jfclere) released 2010-07-22

    Catalina

        add 48960: Add a new option to the SSI Servlet and SSI Filter to allow the disabling of the exec command. This is now disabled by default. Based on a patch by Yair Lenga. (markt)
        fix 49551: Allow default context.xml location to be specified using an absolute path. (markt)
        fix 49598: When session is changed and the session cookie is replaced, ensure that the new Set-Cookie header overwrites the old Set-Cookie header. (markt)
        fix Fix order when listing Webapp loader search URLs. (rjung)
        add Add support for *.jar pattern in VirtualWebappLoader. (kkolinko)
http://tomcat.apache.org/

[SiLæncer]

Das Apache Tomcat Team hat die sofortige Verfügbarkeit der Version 6.0.32 angekündigt.

Apache Tomcat 6.0.32 ist laut Ankündigung der Entwickler hauptsächlich eine Wartungs-Ausgabe, die Sicherheitslücken und Fehler ausbessert. Die Herausgeber raten allen Anwendern älterer Versionen zu einem Upgrade.

Sie finden weitere Details im offiziellen Changelog. Herunterladen können Sie die neueste Version aus dem Download-Bereich der Projektseite. Wer ein Upgrade von Tomcat 5.5 erwägt, findet hier eine Migrations-Anleitung.

Quelle : www.tecchannel.de

[SiLæncer]

Sechs Jahre nach dem Erscheinen des freien Apache-Webserver in Version 2.2 veröffentlichen die Entwickler nun mit der Beta 2.3.11 den ersten Schritt hin zu Version 2.4. Änderungen gibt es unter anderem bei der MPM-Architektur (Multi-Processing-Module), die das quasi-simultane Ausführen mehrere Anfragen organisiert.

Erstmals muss man sich nicht mehr beim Übersetzen des Servers entscheiden, welches MPM er nutzen soll. Die MPMs werden jetzt wie andere Softwarekomponenten als dynamische Module erzeugt, und man wählt erst beim Start des Servers das passende. Das bisher als "experimentell" gekennzeichnete Event-MPM rückt in die Reihe der voll einsatzfähigen MPMs auf.

Das LogLevel kann man nun für Verzeichnisse und Module unterschiedlich einstellen. Ein neues Modul bindet die Skriptsprache Lua an, sodass sich darin Request-Handler schreiben lassen. mod_ssl erlaubt die Online-Prüfung von Zertifikaten per OCSP. Module-Autoren sollten die Liste der API-Änderungen beachten, wenn sie ihre Software auf Apache 2.4 portieren wollen.

Für Interessenten steht ein gepacktes tar-Archiv der Unix-Quellen bereit.

Quelle : www.heise.de