Red Hat JBoss Core Services Apache HTTP Server 2.4.37 Service Pack 8 リリースノート
Red Hat JBoss Core Services Apache HTTP Server 2.4.37 での使用
概要
はじめに
Red Hat JBoss Core Services バージョン 2.4.37 Service Pack 8 リリースへようこそ。
Red Hat JBoss Core Services の Apache HTTP Server は、Apache Software Foundation により開発されたオープンソースの Web サーバーです。Apache HTTP Server の機能は次のとおりです。
- HTTP/1.1 や HTTP/2 を含む現在の HTTP 規格を実装します。
- OpenSSL を使用した Transport Layer Security (TLS) 暗号化サポート。Web サーバーと Web クライアントとの間のセキュアな接続を提供します。
- モジュール拡張は、Red Hat JBoss Core Services の Apache HTTP Server に含まれるモジュールの一部です。
Red Hat Enterprise Linux 6 はサポートされなくなり、その後ドキュメントから削除されました。
第1章 Red Hat JBoss Core Services 2.4.37 のインストール
Apache HTTP Server 2.4.37 は、インストールガイドの以下のセクションのいずれかを使用してインストールできます。
Red Hat Enterprise Linux システムのインストール手順は、以下を参照してください。
- Microsoft Windows システムのインストール手順は、Microsoft Windows への JBoss Core Services Apache HTTP Server のインストール を参照してください。
第2章 Red Hat JBoss Core Services Apache HTTP Server 2.4.37 へのアップグレード
以前のバージョンの Red Hat JBoss Core Services Apache HTTP Server が .zip アーカイブからインストールされている場合は、Apache HTTP Server 2.4.37 にアップグレードする必要があります。
- Apache HTTP Server 2.4.37 のインストール
- Apache HTTP Server 2.4.37 の設定
- 以前のバージョンの Apache HTTP Server の削除
要件
- 管理者アクセス (Windows Server)
- .zip アーカイブから Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 以前がインストールされている。
手順
Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 を使用するシステムでは、Apache HTTP Server 2.4.37 へのアップグレードに推奨される手順は次のとおりです。
- Red Hat JBoss Core Services Apache HTTP Server 2.4.29 の実行中のインスタンスをすべてシャットダウンします。
- Red Hat JBoss Core Services の Apache HTTP Server 2.4.29 インストールおよび設定ファイルをバックアップします。
- 現在のシステムの .zip インストール方法を使用して、Red Hat JBoss Core Services の Apache HTTP Server 2.4.37 をインストールします (以下の 追加リソース を参照)。
Red Hat JBoss Core Services の Apache HTTP Server バージョン 2.4.29 からバージョン 2.4.37 に設定を移行します。
注記Apache HTTP Server の設定ファイルは、Apache HTTP Server 2.4.29 リリース以降変更される可能性があります。2.4.37 バージョン設定ファイルは、別のバージョン (Apache HTTP Server 2.4.29 など) の設定ファイルで上書きするのではなく、更新することが推奨されます。
- Red Hat JBoss Core Services Apache HTTP Server 2.4.29 ルートディレクトリーを削除します。
関連情報
第3章 セキュリティーの修正
この更新には、以下のセキュリティー修正が含まれています。
| ID | 影響 | 概要 |
|---|---|---|
| 中程度 | curl: FTP PASV コマンド応答により、curl が任意のホストに接続される可能性がある jbcs-httpd-2.4 | |
| 中程度 | curl: OCSP の検証が劣っている [jbcs-httpd-2.4] | |
| 中程度 | curl : libcurl: HTTP リダイレクトでの DNS 経由の部分的なパスワードリーク jbcs-httpd-2.4 | |
| 中程度 | curl: 自動リファラー jbcs-httpd-2.4 を介した URL の認証情報の漏えい | |
| 中程度 | curl : CURLOPT_CHUNK_BGN_FUNCTION を使用すると、悪意のある FTP サーバーがスタックオーバーフローを引き起こす可能性がある jbcs-httpd-2.4 | |
| 低 | curl: TLS 1.3 セッションチケットと HTTPS プロキシーホストの組み合わせ [jbcs-httpd-2.4] | |
| 重要な影響 | curl: OpenSSL TLS バックエンドの使用時に TLS セッションの処理中の Use-after-free [jbcs-httpd-2.4] | |
| 重要な影響 | httpd: 特別に細工された HTTP/2 リクエストでの NULL ポインター逆参照 jbcs-httpd-2.4 |
第4章 解決した問題
以下は、本リリースで解決された問題です。
| 問題 | 概要 |
|---|---|
| JBCS-1100 | mod_cluster は、リクエストがルーティングされた JVM がハングしているにも拘らず JVM を削除しない |
| JBCS-1131 | 14 文字を超える FQDN/URL の HTTP 400 エラー |
| JBCS-1075 | SP6 で WebSocket (および mod_cluster) を使用すると HTTP/1.1 が壊れる |
| JBCS-1111 | /opt/rh/jbcs-httpd24/root/usr/sbin/apx 破損しているように見える…deps がない |
第5章 既知の問題
本リリースには既知の問題がありません。
第6章 アップグレードされたコンポーネント
本リリースには、以下のパッケージのアップグレードが含まれます。
| コンポーネント | バージョン | オペレーティングシステム |
|---|---|---|
| curl | 7.77.0 | Windows |
| libcurl | 7.77.0 | RHEL 7 & RHEL 8 |
