项目

通用

个人资料

操作
历史

发布版本 »

发布信息

  • 版本: 1.4.34
  • 上一版本: 1.4.33
  • 分支: 1.4
  • 状态: 稳定版
  • 发布目的: 错误修复
  • 发布经理: stbuehler
  • 发布日期: 2014-01-20

1.4.33版的重要变更

有一些重要的安全修复正在进行中(您应该已经通过您喜欢的发行版获取了它们);我很抱歉延迟发布(我们可能也应该在我们的页面和邮件列表中公布安全漏洞,以供那些没有关注 oss-security 的人)。

我们将“标准”SSL密码串推荐更新为 ssl.cipher-list = "aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK";有关详细原因,请参阅主要 发布公告

回归警告

针对 lighttpd SA-2013-01 (CVE-2013-4508,“使用可能存在漏洞的SNI密码套件”)的修复包含一个回归问题

每个SSL_CTX也会从配置中的所有块加载ssl.ca-file的所有值。

这意味着您的 ssl.ca-file 文件不得包含循环链,并且应使用唯一的主题名称。

有关更多详细信息,请参阅 Debian Bug - #729555

安全修复

下载

1.4.33版的变更

  • [mod_auth] 明确为SHA1链接SSL (修复了 #2517)
  • [mod_extforward] 修复了没有IPv6时的编译问题,(未)使用未定义的变量 (修复了 #2515,谢谢 mm)
  • [ssl] 修复了SNI处理;仅使用SNI特定配置中的密钥+证书 (修复了 #2525, CVE-2013-4508)
  • [文档] 更新ssl.cipher-list推荐
  • [stat-cache] FAM: 修复了释放后使用问题 (CVE-2013-4560)
  • [stat-cache] 修复了FAM清理/fdevent处理问题
  • [核心] 检查setuid,setgid,setgroups是否成功 (CVE-2013-4559)
  • [ssl] 修复了CVE-2013-4508导致的回归问题 (客户端证书会话已损坏)
  • 在更多地方维护 physical.basedir(作为 physical.path 前缀的“实际”文档根目录)
  • [核心] 在重写前解码URL,使其能够在$HTTP["url"]条件语句中工作 (修复了 #2526)
  • [自动构建] 从链接器标志中移除 -no-undefined,因为我们实际上链接了包含未定义符号的模块 (修复了 #2533)
  • [mod_mysql_vhost] 修复了配置初始化时的内存泄漏问题 (#2530)
  • [mod_webdav] 修复了使用Parfait发现的文件描述符泄漏问题 (修复了 #2530,谢谢 kukackajiri)

外部参考

更新者: stbuehler 11年前 · 1 次修订