Apache HTTP Server 2.4.3 がリリースされました。また、2.4.2 も今年の4月にリリースされていたので、それについてもリリース記事を www.apache.jp に書きました
CVE についてのみしか言及していないのですが、CHANGES 見ると興味深い変更点があるようです。2.4.3 の CHANGES によると
*) httpd.conf: Added configuration directives to set a bad_DNT environment
variable based on User-Agent and to remove the DNT header field from
incoming requests when a match occurs. This currently has the effect of
removing DNT from requests by MSIE 10.0 because it deliberately violates
the current specification of DNT semantics for HTTP. [Roy T. Fielding]
なんてのがあります。具体的には この変更 で、MSIE 10.0 からのアクセスの場合には DNT ヘッダ を unset するというものです。なにか問題があるようなのですが、ちゃんとは追いかけてません。
(21:30追記)
これは IE 10 がデフォルトで DNT:1 にしてしまうという問題への対応だと思います。DNT の設定に関してはブラウザがユーザーの意見を聞く必要がある、という標準を無視してることへの対抗なのでしょう。
Apache HTTP Server の開発のメーリングリストではこの件については言及を見つけられませんでしたが、W3C の public-tracking メーリングリストではこの変更を行った Roy のこの件についての意見を見ることができます。
If someone wants to distort an open standard within a message in HTTP, then Apache has a process for that, and it doesn't require WG consensus.
セコメントをする