de.openvms.org - Für die deutschsprachige VMS-Community https://de.openvms.org:443/stories.php?story=06/11/13/9431112

HP SWS Version 1.3-1 Update 2
Software - 13-Nov-2006 20:23 UTC
HP Secure Web Server Version 1.3-1 Update 2 (basiert auf Apache V1.3.26 und mod_ssl 2.8.10) ist verfügbar.

Der Secure Web Server (SWS) ist Teil der Web Server Suite für OpenVMS, die auch CSWS_JAVA (Tomcat), Perl für OpenVMS und CSWS_PERL (mod_Perl) sowie CSWS_PHP (mod_PHP) umfasst.

Behobene Problem

Dieses Update enthält Fehlerbehebungen sowohl für die unten angeführten Sicherheitsprobleme als auch für generelle Probleme.

  1. Der Apache Serverprozess hängt, wenn die PHP_OCI8-Erweiterung mit Oracles OCI API benutzt wird.
    Die PHP_OCI Erweiterung kann mit Oracles OCI API benutzt werden.
    Oracles OCI Shareable Image aktiviert dynamisch POSIX-Threads im Apache Serverprozess. Dies kann unter Umständern dazu führen, dass der Serverprozess hängt, besonders, wenn Apache in einen Timeout mit einem langsamen Client gerät.

  2. Fix für CVE-2006-3918 betreffended Apache HTTP Server 1.3. Dieses Problem tritt auf, weil der Server die Expect-Kopfzeile einer HTTP-Anforderung nicht sicher verarbeitet, wenn sie in einer Fehlermeldung zurückgeschickt wird. Dies macht Cross-Site Scripting (XSS) Attacken möglich, wenn Webklienten benutzt werden, die beliebige Kopfzeilen in Anforderungen schicken können.



Bekannte Probleme und Beschränkungen

  1. Die Kommandos APACHE$CONFIG FLUSH und NEW können Zugriffs- und Fehlerlogdateien korrumpieren
    Werden die Kommandos APACHE$CONFIG FLUSH oder NEW gegeben, während der Apache-Servers mit der Behandlung von Anforderungen beschäftigt ist, können Beschädigungen der Zugriffs- und Fehlerlogdateien auftreten, indem die Ausgabe des einen in das andere geleitet wird, oder indem die Ausgabe eines Skripts in die Fehlerlogdatei umgeleitet wird.

    Hewlett Packard empfiehlt, diese Komamndos nicht zu benutzen, bis ein Fix verfügbar ist. Dieses Problem wird in einer zukünftigen Version behoben werden.


  2. Microsoft Internet Explorer können eine Meldung "Seite kann nicht angezeigt werden" ausgeben, wenn eine SSL (HTTPS) Verbindung benutzt wird, die wegen eines Keepalive-Timeouts abgebrochen wurde. Dies kann vermieden werden, indem eine der folgenden Direktiven in die Datei mod_ssl.conf eingefügt wird:

    SetEnvIf User-Agent ".*MSIE.*" nokeepalive
    SetEnvIf User-Agent ".*MSIE.*" ssl-unclean-shutdown



Download

Das Update kann von der SWS-Patches-Webseite http://h71000.www7.hp.com/openvms/products/ips/apache/csws_patches.html heruntergeladen werden.

Achtung! OpenVMS Alpha Version 7.3-2 and OpenVMS Version 8.2 (Alpha and I64) sind die letzten Versionen, auf denen der Secure Web Server in der Version 1.3-* unterstützt wird.

Original auf www.openvms.org