Apache HTTP Server 2.4.2发布，修复重要安全漏洞

Apache HTTP Server团队今天发布了2.4分支的第2个主要升级版本。


该版本主要修复了之前版本的一个安全漏洞，如下：

CVE-2012-0883：修复了不安全的LD_LIBRARY_PATH操作，该操作可能导致攻击者在当前的工作目录中搜索DSO（动态共享对象）。

该版本还修复了mod_slotmem_shm、mod_ssl、mod_proxy、mod_proxy、mod_sed、mod_request、mod_dumpio等模块中的一些bug，详细信息参阅：CHANGES_2.4.2

升级至该版本，需要注意的是：

• 依赖Apache Portable Runtime (APR) 1.4.x和APR-Util 1.4.x。APR库必须升级，以保证httpd所有的功能可以正常运行。
• Apache 2.4.x版本扩展了Apache 2.2 API，针对Apache 2.2编写的模块需要重新编译，以便能够在该版本中运行，甚至需要修改少量源码。
• 升级或安装此版本的Apache时，如果打算使用线程化MPM（不同于Prefork MPM），必须确保将使用的任何模块以及它们所依赖的库是线程安全的。

Windows用户需要注意：

• “AcceptFilter None”取代了“Win32DisableAcceptEx”，与mod_ssl之间可能会有一些互操作性问题。
• Apache 2.4.2可能不适用于所有的Windows服务器。目前Apache 2.4还没有Windows二进制版本，Apache团队表示会尽快发布。

下载地址：http://httpd.apache.org/download.cgi#apache24