【IT168 技术新闻】Apache近期发布了2.2.6的dev版，供大家测试。
　　
　　其主要的改进包括：
　　
　　修正了mod_proxy冲突的缺陷。远程攻击者可能会向配置了逆向代理的站点发送一个精心设计的请求，它将导致Apache的子进程处理该请求时发生冲突。同样，配置了顺向代理的站点也会产生类似的问题。如果使用多线程处理，可能会导致服务被拒绝。
　　
　　修正了跨站点脚本mod_status的缺陷。服务器状态页不应该被访问，这会带来跨站点的脚本攻击。

　　修正了导致任意进程的信号问题，本地的攻击者可能会操纵服务器，从而导致任意进程的终止，也会引起服务被拒绝。

　　修正了mod_cache信息泄露的问题。Apache2.2.4的mod_cache中的recall_headers函数不能完全复制所有级别的头文件数据。这将会导致Apache返回头文件里包含的先前使用过的数据，远程攻击者可能利用它来获得潜在的机密信息。

　　修正了mod_cache模块中的一个BUG。当网站开启了缓存时，远程攻击者可能发送一个精心设计的请求，将导致Apache的子进程处理这个请求时发生冲突。同样访问会被拒绝。

原文地址