Apache HTTP Server 2.2.20 发布

Apache软件基金会和Apache HTTP Server项目发布了Apache HTTP Server （Apache）2.2.20版本。



该版本修复了一个严重的安全漏洞：

CVE-2011-3192：修复了byte-range请求操作，以使用较少的内存，避免拒绝服务。如果请求中所有的range总和大于原始文件，则忽略range，并发送完整的文件。

其他修复的问题如下：

• mod_authnz_ldap：修复了如果LDAP服务返回约束违反，不视为一个错误，而是当作“auth denied”的问题。   
• mod_filter：修复了CGI中FilterProvider 指令条件“resp=”（响应头）的问题。
• mod_reqtimeout：修复了当丢弃请求主体时，已超时的连接在超时后仍保持活动状态的问题。
• core: Do the hook sorting earlier so that the hooks are properly sorted  for the pre_config hook and during parsing the config.

详细信息参阅：http://labs.renren.com/apache-mirror/httpd/CHANGES_2.2.20

官方认为该版本是Apache最好的发行版本，并鼓励所有用户升级至该版本。

该版本包含了Apache Portable Runtime （APR）1.4.5 和 APR Utility Library （APR-util）1.3.12，已捆绑在tar和zip发行包中。APR库libapr和libaprutil都必须更新，以确保兼容性和许多已知安全问题和平台错误的修复。在升级或安装此版本的Apache时，请记住，如果打算使用线程化MPMs（多道处理模块）的Apache时，必须确保任何要使用的模块（和它们所依赖的库）是线程安全的。

下载地址：http://mirror.bjtu.edu.cn/apache//httpd/httpd-2.2.20.tar.gz