Доступен (http://www.apache.org/dist/httpd/) корректирующий релиз http-сервера Apache 2.4.2 в котором устранена 1 уязвимость и представлено 26 исправлений (http://www.apache.org/dist/httpd/CHANGES_2.4). Уязвимость вызвана некорректной обработкой переменной окружения LD_LIBRARY_PATH и может привести к загрузке DSO-модулей из текущей директории, из которой администратор запустит apache.

Из исправлений можно отметить:

-  Добавлена директива DefaultRuntimeDir и обеспечена её поддержка в модуле mod_slotmem_shm;
-  Устранение краха модуля mod_ssl при использовании threaded MPM;
-  Решение проблем с загрузкой  DSO-модулей с MPM на платформе AIX;
-  Налажена корректная обработка директив Listen при использовании MPM c привязанными к директориям  файлами конфигураций;
-  Устранено несколько проблем в mod_proxy;
-  Внутри  AllowOverrideList  запрещено использовать  директивы, допустимые только в контексте виртуального хоста или сервера. Также запрещено использование параметра 'None' в AllowOverrideList совместно с другими директивами;
-  Добавлены файловые пути к сообщениям о запрещении/разрешении доступа AH00035 и AH00036;

-  Устранена небольшая утечка памяти в  Unix MPM, возникающая при сбое выполнения вызова connect();
-  Указание "DirectoryIndex disabled" теперь отменяет все другие настройки DirectoryIndex в текущей секции конфигурации, в том числе указанные ниже;

-  В процессе проверки корректности файла конфигурации теперь проверяется возможность доступа к файлам с логами;
-  В  mod_xml2enc и mod_proxy_html добавлена поддержка включения своего уровня ведения лога для разных модулей;

-  В mod_filter устранён крах при использовании директивы AddOutputFilterByType;

-  В mod_session при кодировании параметров сессии  через application/x-www-form-urlencoded теперь правильно обрабатываются пробелы.

URL: http://www.apache.org/dist/httpd/
Новость: http://www.opennet.me/opennews/art.shtml?num=33611

• Корректирующий релиз http-сервера Apache 2.4.2,Аноним, 15:26 , 16-Апр-12
  • Корректирующий релиз http-сервера Apache 2.4.2,myhand, 23:14 , 16-Апр-12
    • Корректирующий релиз http-сервера Apache 2.4.2,Аноним, 23:16 , 16-Апр-12
      • Корректирующий релиз http-сервера Apache 2.4.2,myhand, 12:39 , 17-Апр-12
• Корректирующий релиз http-сервера Apache 2.4.2,o, 09:24 , 17-Апр-12
  • Корректирующий релиз http-сервера Apache 2.4.2,myhand, 12:42 , 17-Апр-12

А debian меж тем обновил апач по причине "insecure default configuration":

> Niels Heinen noticed a security issue with the default Apache configuration on Debian if certain scripting modules like mod_php or mod_rivet are installed. The problem arises because the directory /usr/share/doc, which is mapped to the URL /doc, may contain example scripts that can be executed by requests to this URL.

Какие тонкие юмористы.

Поясните?  Пока похоже на смех без причины.

Могу посоветовать гуглопереводчик.

А, так вы просто текст не сумели перевести - оттого смех?  Учите язык, вьюнош.

Ну ладно, поясню: в конфигурации (специфичной для debian) по-умолчанию апача обнаружилась дырка, скрипты в каталоге документации могли быть запущены при известных условиях (активен модуль интерпретатора, например PHP).

В чем "тонкий юмор", кто-то сумеет внятно объяснить?

Что то не спешат его в порты. А то я бы уже попробовал его на высоких нагрузках.

В debian/experimental запихнули уже с месяц.  Пробуйте, если все нужные вам модули уже завелись...