Apache Software Foundationが「Apache HTTP Server 1.3.34」を公開

IT Pro

2005.10.20

　オープンソース団体Apache Software Foundation（ASF）とApache HTTP Server Projectは，「Apache HTTP Server」の1.3系の最新版となるバージョン1.3.34を米国時間10月18日に公開した。 Apache HTTP Server ProjectのWebサイトからダウンロードできる。新版では，主にバグとセキュリティの修正を加えている。

　新版の主な変更点は次の通り。
・リクエストにTransfer-EncodingとContent-Lengthヘッダーの両方が含まれている場合，HTTPリクエスト・スプリッティング／スプーフィング攻撃の危険性を軽減するためにContent-Lengthを削除
・TRACEメソッドの振る舞いを変更できるように，TraceEnableに関するディレクティブを追加
・Apache 1.3.33以前のバージョンで見つかったAMD64といった64ビット・マシンにおけるコアダンプ・エラーを修正

　変更点詳細については http://httpd.apache.org/dist/httpd/ CHANGES_1.3に掲載している。

　Apache 1.3系は，UNIX OS向けに設計されたものであり，Win32，Netware，OS2といった非UNIX系のOS向けに最適化されていない。2.0系のApache HTTP Serverは，UNIXプラットフォームやそれ以外のプラットフォームでも性能を発揮できるように設計されている。

　2.0系の最新版となるバージョン2.0.55は，同月14日に公開されている。新版では，6つのセキュリティ問題に対処している。その中の3つは，HTTPリクエスト・スプリッティング／HTTPレスポンス・スプリッティング／スプーフィング攻撃に関するものだった。Apache 2.0.55も同Webサイトからダウンロードできる。