Apache HTTP服务器2.2.22已上市

Apache软件基金会的Apache HTTP服务器项目已经宣布发行的2.2.22版本的Apache HTTP服务器(“Apache”)。在Apache HTTP项目认为此版本是Apache提供的最好版本，并鼓励所有先前版本的用户升级。

根据版本说明，这个版本的Apache主要是一个安全和错误修复版本，其中包括以下重要的安全修补程序：

•安全性：CVE-2011-3368(cve.mitre.org)：拒绝请求，请求URI不符合HTTP规范，防止意外扩大，在一些反向代理服务器配置目标URL。

•安全性：CVE-2011-3607(cve.mitre.org)：修复整数溢出在ap_pregsub()，其中的mod_setenvif模块被启用时，可能会允许本地用户可以获得通过htaccess文件的权限。

•安全性：CVE-2011-4317(cve.mitre.org)：解析附加的URL改写，与ProxyPassMatch或重写规则，特定请求的URI的地方可能会导致在意外在某些配置中的后台资料泄漏的案件。

•安全性：CVE-2012-0021(cve.mitre.org)：mod_log_config：修复段错误(崩溃)的时候%{cookiename} C“的日志格式字符串是在使用客户端发送一个无名的毫无价值的cookie，导致服务拒绝。版本2.2.17以来存在的问题。

•安全性：CVE-2012-0031(cve.mitre.org)：修复的记分牌的问题，这可能会允许非特权子进程可能会导致母公司程序崩溃，而不是在关机时终止干净。

•安全性：CVE-2012-0053(cve.mitre.org)：修正了一个错误反应的问题可能会暴露的“httpOnly” cookies时，没有自定义的ErrorDocument指定的状态代码400。

在Apache HTTP项目得益于halfdog，Context Information Security Ltd, Prutha Parikh of Qualys,及 Norman Hippert重视安全团队的这些问题。

Apache HTTP服务器2.2.22已经提供下载。

用户升级或安装此版本的Apache时请谨记，如果你打算使用线程化MPM(比prefork MPM)之一的Apache，你必须确保任何模块，您将使用(及它们所依赖的的库上)是线程安全的。