Red Hat JBoss Core Services Apache HTTP Server 2.4.37 Service Pack 10 Release Notes

Red Hat JBoss Core Services 2.4.37

用于红帽 JBoss Core Services Apache HTTP Server 2.4.37

摘要

本发行注记包含与 Red Hat JBoss Core Services Apache HTTP Server 2.4.37 相关的重要信息。

前言

欢迎使用 Red Hat JBoss Core Services 版本 2.4.37 Service Pack 10。

Red Hat JBoss Core Services Apache HTTP Server 是由 Apache Software Foundation 开发的开源 Web 服务器。Apache HTTP 服务器的功能包括:

  • 实施当前的 HTTP 标准,包括 HTTP/1.1 和 HTTP/2。
  • OpenSSL 的传输层安全性(TLS)加密支持,在 web 服务器和 web 客户端之间提供安全连接。
  • 虽然模块可以扩展,但其中的一些模块包含在红帽 JBoss Core Services Apache HTTP 服务器中。
重要

Red Hat Enterprise Linux 6 不再被支持,因此已从文档中删除。

对红帽文档提供反馈

我们非常感谢您对我们的技术内容提供反馈,并鼓励您告诉我们您的想法。如果您想添加评论,提供见解、纠正拼写错误甚至询问问题,您可以在文档中直接这样做。

注意

您必须有一个红帽帐户并登录到客户门户网站。

要从客户门户网站提交文档反馈,请执行以下操作:

  1. 选择 Multi-page HTML 格式。
  2. 点文档右上角的 反馈 按钮。
  3. 突出显示您要提供反馈的文本部分。
  4. 点高亮文本旁的添加反馈对话框。
  5. 在页面右侧的文本框中输入您的反馈,然后单击 Submit

每次提交反馈时,我们都会自动创建跟踪问题。打开在点 Submit 后显示的链接,并开始监视问题或添加更多注释。

感谢您的宝贵反馈。

第 1 章 安装 Red Hat JBoss Core Services 2.4.37

可以使用安装指南中的以下部分安装 Apache HTTP 服务器 2.4.37:

第 2 章 升级到红帽 JBoss Core Services Apache HTTP Server 2.4.37

对于从 .zip 归档安装到 Red Hat JBoss Core Services Apache HTTP Server 的早期版本的系统,升级到 Apache HTTP Server 2.4.37 需要:

  1. 安装 Apache HTTP 服务器 2.4.37。
  2. 设置 Apache HTTP 服务器 2.4.37。
  3. 删除 Apache HTTP 服务器的早期版本。

先决条件

  • 管理访问(Windows 服务器)
  • 一个系统,红帽 JBoss 核心服务 Apache HTTP 服务器 2.4.29 或更早版本是从 .zip 归档安装的。

流程

对于使用红帽 JBoss Core Services Apache HTTP Server 2.4.29 的系统,升级到 Apache HTTP Server 2.4.37 的建议步骤是:

  1. 关闭红帽 JBoss 核心服务 Apache HTTP 服务器 2.4.29 的任何运行实例。
  2. 备份红帽 JBoss 核心服务 Apache HTTP 服务器 2.4.29 安装和配置文件。
  3. 使用 .zip 安装方法安装 Red Hat JBoss Core Services Apache HTTP Server 2.4.37 (请参阅以下 附加资源 )。
  4. 将您的配置从 Red Hat JBoss Core Services Apache HTTP Server 版本 2.4.29 迁移到 2.4.37 版本。

    注意

    从 Apache HTTP 服务器 2.4.29 发行版本起,Apache HTTP 服务器配置文件可能会有所变化。建议您更新 2.4.37 版本配置文件,而不是使用不同版本的配置文件(如 Apache HTTP 服务器 2.4.29)覆盖它们。

  5. 删除 Red Hat JBoss Core Services Apache HTTP Server 2.4.29 root 目录。

其它资源

第 3 章 安全修复

这个版本包括以下安全修复:

ID影响概述

CVE-2021-41773

重要的

httpd: path traversal and file disclosure vulnerability [jbcs-httpd-2.4]

CVE-2021-40438

重要的

httpd: mod_proxy: SSRF via a crafted request uri-path containing "unix:" [jbcs-httpd-2.4]

CVE-2021-3712

Moderate(中度)

openssl: Read buffer overruns processing ASN.1 字符串 [jbcs-httpd-2.4]

CVE-2021-3688

Moderate(中度)

mod_proxy:Red Hat JBCS: URL 规范化问题带有点-dot-semicolon (s)会导致信息披露 [jbcs-httpd-2.4]

CVE-2021-22924

Moderate(中度)

curl:由于有缺陷的路径名检查 [jbcs-httpd-2.4]

CVE-2021-22922

Moderate(中度)

curl:在 Metalink 中,内容不匹配的哈希值不会被丢弃 [jbcs-httpd-2.4]

CVE-2021-22923

Moderate(中度)

curl: Metalink download 发送凭证 [jbcs-httpd-2.4]

CVE-2021-30641

Moderate(中度)

httpd: Unexpected URL 与 'MergeSlashes OFF' [jbcs-httpd-2.4] 匹配

CVE-2019-17567

Moderate(中度)

httpd: mod_proxy_wstunnel tunneling of non Upgraded connection [jbcs-httpd-2.4]

CVE-2021-26691

Moderate(中度)

httpd: mod_session: Heap overflow via a crafted SessionHeader value [jbcs-httpd-2.4]

CVE-2021-26690

Moderate(中度)

httpd: mod_session: NULL pointer dereference when parsing Cookie header [jbcs-httpd-2.4]

CVE-2021-23840

Moderate(中度)

openssl: integer overflow in CipherUpdate [jbcs-httpd-2.4]

CVE-2021-23841

Moderate(中度)

openssl: NULL pointer dereference in X509_issuer_and_serial_hash() [jbcs-httpd-2.4]

CVE-2020-14155

pcre:解析 callout 数字参数 [jbcs-httpd-2.4]

CVE-2019-20838

pcre:当 UTF 被禁用并且 \X 或 \R 的固定限定符大于 1 [jbcs-httpd-2.4]

CVE-2021-22925

curl: Incorrect fix for CVE-2021-22898 TELNET stack contents disclosure [jbcs-httpd-2.4]

CVE-2020-13950

httpd: mod_proxy NULL pointer dereference [jbcs-httpd-2.4]

CVE-2020-35452

httpd: Single zero byte stack overflow in mod_auth_digest [jbcs-httpd-2.4]

第 4 章 已解决的问题

这个版本解决了以下问题:

问题概述

JBCS-1225

为 CVE-2021-41773 添加修复

JBCS-1186

[GSS] ap_increment_counts 中的分段错误

JBCS-1177

rebase curl 到 7.78.0

JBCS-1152

字符串令牌化过程中的分段错误

JBCS-1149

SSLProtocol 与基于的虚拟主机

JBCS-1147

mod_proxy_http fills file system with /tmp/modproxy.tmp.* files

JBCS-1074

prunsrv stop timeout not honored

JBCS-985

将 Apache Commons Daemon JSVC (用于 Windows)升级到 1.2.4 版本

JBCS-957

JBoss Service.bat 停止失败并显示错误

第 5 章 已知问题

这个版本没有已知问题。

第 6 章 升级的组件

此发行版本包括以下软件包升级的版本:

组件版本操作系统

apache-commons-daemon-jsvc

1.2.4

Microsoft Windows

curl

7.78.0

Microsoft Windows

有关此 Red Hat JBoss Core Services 发行版本所支持的组件的完整列表,请参阅 Core Services Apache HTTP Server 组件详情页。在尝试访问 Component Details 页面前,您必须确保有一个有效的红帽订阅,并登录到红帽客户门户网站。