Varnish3.0.7がリリースされました。
Version3.0.xのサポート期限が4月までのため流石にもう追加リリースはないんじゃないかと考えています。
なお今回のリリースはバグフィックスと改善になります。
アップデートを強くおすすめします(特にラインセパレータの扱いに対する修正のため)
BugFix
1690 – RHEL7/CentOS7環境においてinitスクリプトの問題でうまく動かない問題を修正しました
単一のCR(\r)をラインセパレータとして扱うのを辞めました
通常LFもしくはCRLFをラインセパレータとして使いますがCRも許容していました。
これによりHTTPを解釈する複数のMWでのヘッダの解釈違いを利用することでキャッシュポイズニング攻撃を行うことが可能です。
といっても割と限られた条件なのでめっちゃ緊急というわけでもないです。
クライアントから複数のContent-Lengthを送られてきた場合に400を返すようにしました
1627 – Content-Lengthがおかしいのを修正しました
HTTP/1.0なクライアントでgzip+streamingの場合にContent-Lengthがおかしくなっていたようです。
ban利用時にメモリリークしていたのを修正しました
改善
Hop-by-hop/Endo-to-endヘッダのチェックを強化しました
親-子プロセスにおいて通信の問題が起きた際のエラー検出・再起動プロセスを改善しました