Apache HTTP Server 2.4.4 がリリースされました。セキュリティ上の修正、機能の追加、バグ修正などです。 mod_info などでのホスト名出力で XSS が発生する可能性があったのを修正 mod_proxy_manager の管理画面での XSS の2件については CVE が割り当てられています。ほかに気になるところとしては、 SSLCompression ディレクティブが追加され、SSL で圧縮しないのがデフォルトとなった。 というのがあります。このディレクティブは SSL での圧縮を on/off するもので、導入のきっかけは負荷対策だったようです。しかし、SPDY への攻撃方法、さらには SSL への攻撃方法 (盗聴) として知られるようになった CRIME 攻撃への対処にもなります。この問題は 2.2 系にもあるので、まもなくリリースされるであろう 2.2.2
![Apache HTTP Server 2.4.4 がリリースされました: 日誌](https://cdn-ak-scissors.b.st-hatena.com/image/square/d9a96d3da9533e370500ed15a0a415876cb07eb0/height=288;version=1;width=512/https%3A%2F%2Ftkusano.jp%2Fimg%2Fponta-kusano.jpg)