Então, o pessoal da apache foundation acabou de liberar a release 2.4.3 do velho índio, quer dizer, do HTTP Server que domina mais de 60% do mercado, dito pelo pessoal da Netcraft.
Essa nova release trouxe uma série de correções para problemas já relatados junto ao pessoal que desenvolve e mantêm o projeto, além de corrigir duas vulnerabilidades . São elas:
*) SECURITY: CVE-2012-3502 (cve.mitre.org)
mod_proxy_ajp, mod_proxy_http: Fix an issue in back end
connection closing which could lead to privacy issues due
to a response mixup. PR 53727. [Rainer Jung]
*) SECURITY: CVE-2012-2687 (cve.mitre.org)
mod_negotiation: Escape filenames in variant list to prevent a
possible XSS for a site where untrusted users can upload files to
a location with MultiViews enabled. [Niels Heinen <heinenn google.com>]E aí, devo ou não devo atualizar o meu ambiente com essa nova release ? Essa é a pergunta que está passando na cabeça de centenas de admins.. A resposta é sim, e façam o quanto antes, mas planejado.
A forma correta de implementar esta nova versão/release seria baixar o pacote/código fonte e compilá-lo, apontando um novo prefix para um diretório diferente, tipo /opt/apache-2-4-3. Tendo assim dois produtos instalados no mesmo ambiente.
Depois copiar todas as configurações da versão anterior para esta nova, agendar uma janela de manutenção e subi-lo, digo, a nova release.
Alguns colegas iniciaram a migração da versão 2.2 para a 2.4 e reclamaram de algumas configurações. Nada é feito de forma simples e suave, já diz o ditado.
A estúpida disputa de performance entre o Nginx e o Apache
Eu ainda dou belas risadas quando escuto que a nova versão do Apache, a 2.4, consegue ser mais performática que o Nginx. Meus amigos, isso é mentira. O Nginx ainda ganha, e com centenas de corpos de distância do apache, quando o assunto e prover conteúdo estático, essa diferença aumenta mais ainda quando adicionamos o Memcached e o FastCGI.
. Em tempo, haverá um pacote com ambos os