Message par julp
La planification de la version 2.2.10, du serveur HTTP Apache a été abordée sur la mailing-list des développeurs. Celle-ci serait programmée pour les alentours du 13 septembre et compte d’ores et déjà les changements suivants :
- Sécurité : un cas d’éventuelle injection XSS, pouvant être introduit dans certaines URLs par le module mod_proxy_ftp, a été fixé ;
- L’option de création de cookie (CO) du module de réécriture est désormais complétée des drapeaux secure (cookie n’étant alors transmis que lorsque la connexion est sécurisée) et HttpOnly (limite les risques d’attaques XSS en rendant le module inaccessible aux langages scripts) ;
- Réécriture d’une partie de la gestion de la mémoire partagée de mod_ssl suite à la découverte d’une erreur sur l’utilisation de la mémoire ;
- Performance de mod_dav_fs (ne concerne que Windows) : l’impact, lors du parcours du système de fichiers DAV, a été minimisé ;
- mod_cgid retrouve le comportement de mod_cgi au niveau de l’interprétation de caractères plus (+) successifs. Dernièrement, une query string telle a++b, donnait trois paramètres : « a », « » (une chaîne vide) et « b » au lieu de deux (« a » et « b ») ;
- Correction du comportement du module mod_headers lors de la manipulation, via la commande edit, d’en-têtes qui sont présentes plusieurs fois ;
- Correction apportée au module mod_proxy_balancer : le champ de formulaire nonce était ajouté en-dehors du formulaire ;
- Mise en conformité de mod_proxy_http par rapport au protocole HTTP/1.1 (RFC 2616) : un proxy ne doit pas faire suivre une requête de code 100 à un serveur HTTP/1.0 (ou antérieur) mais renvoyer une erreur 417 ;
- Correction au niveau du module de réécriture afin que les paramètres de l’URL (query string) soient conservés en présence des options noescape et proxy.