Apache HTTP Server 2.4.4 がリリースされました: 日誌Apache HTTP Server 2.4.4 がリリースされました。セキュリティ上の修正、機能の追加、バグ修正などです。 mod_info などでのホスト名出力で XSS が発生する可能性があったのを修正 mod_proxy_manager の管理画面での XSS の2件については CVE が割り当てられています。ほかに気になるところとしては、 SSLCompression ディレクティブが追加され、SSL で圧縮しないのがデフォルトとなった。 というのがあります。このディレクティブは SSL での圧縮を on/off するもので、導入のきっかけは負荷対策だったようです。しかし、SPDY への攻撃方法、さらには SSL への攻撃方法 (盗聴) として知られるようになった CRIME 攻撃への対処にもなります。この問題は 2.2 系にもあるので、まもなくリリースされるであろう 2.2.2
