mod_jk 1.2.24 やっぱりナシで事件
(ひ)さんに教えて頂いた
http://japan.zdnet.com/oss/story/0,3800075264,20354205,00.htm
にあるように先月の終わり辺りに Tomcat の Connector mod_jk 1.2.24 がリリースされたんだけど mod_jk を経由してTomcat 側の認証を行おうとしたときに正しく認証出来ないというバグが見つかったので 1.2.24 のリリースが取り消しになったという出来事を追っかけたときのメモ。
* 事の発端 tomcat-users ML で
Leif Neve: mod_jk 1.2.24 にアップデートしたら Tomcat Manager で認証出来なくなったんだけど・・・
Mladen Turk: 明らかにバグだね、修正してコミットしたよ。
* tomcat-dev ML での議論
Mladen Turk: セキュリティリークではないけどセキュリティ関係の問題が見つかったよ
Rainer Jung: 1.2.25 を出すのは早過ぎない?、1.2.24 で良くない?
Mladen Turk: しかし 1.2.24 はうまく動かない、 1.2.23 ではちゃんと動いてたんだよ、試してみてよ。
Rainer Jung: わかった、ちょっと違う patch を提案するけどもう少し精査する必要がある。
Rainer Jung: AS400 用の #ifdef と #ifndef がこんがらがっちゃってたみたい、それで小さいレスポンスが flush されていなかったんだ。
あーよくあるよくある。AS400 っていうと IBM の iSeries の事かな。触ったことがないな。
そういえば今週も残りわずかだけど 1.2.25 は今週中に出るのだろうか
参考:
http://mail-archives.apache.org/mod_mbox/tomcat-dev/200708.mbox/browser
http://mail-archives.apache.org/mod_mbox/tomcat-users/200708.mbox/browser
Permanent Link: http://www.cuspy.org/blog/archives/483
Trackback URL: http://www.cuspy.org/blog/archives/483/trackback