Apache Tomcat Version 4.0 Beta 5 ================================= Release Notes ============= $Id: RELEASE-NOTES-4.0-B5.txt,v 1.2 2001/05/15 02:50:09 craigmcc Exp $ ============ INTRODUCTION: ============ This document describes the changes that have been made in the current beta release of Apache Tomcat, relative to the previous release. この文書は、apache Tomcat(前のリリースと関連している)の現在のベータ発表において作られた変更点を記載します。 Bug reports should be entered at the bug reporting system for Jakarta projects at: バグ報告は、プロジェクトをJakartaのためにシステムを報告しているバグで入れられるはずです: http://nagoya.apache.org/bugzilla/ Please report bugs and feature requests under product name "Tomcat 4". 製品名前「Tomcat 4」の下でバグと機能要求を報告してください。 ----> SECURITY ALERT: Two security-related problems were discovered in ----> the Tomcat 4.0-b4 release which was announced on 05/11/2001. These ----> vulnerabilities have been fixed in this beta release. Anyone who ----> downloaded and installed Tomcat 4.0-b4 is urged to upgrade to this ----> new release immediately. ----> セキュリティ警報:05/11/2001の上で発表されたTomcat 4.0-b4リリース ----> において、2つのセキュリティに関連した問題が発見されました。 ----> これらの脆弱性は、このベータ・リリースにおいて修正されました。 ----> Tomcat 4.0-b4をダウンロードして、インストールした方は、 ----> 直ちにこの新しいリリースにアップグレードしてください。 ----> UPCOMING CHANGE NOTICE: In a future beta release of Tomcat 4.0, it ----> is likely that the default operational mode will be to run Tomcat ----> under a security manager (rather than the current default of not ----> using one). This may necessitate editing the policy permissions ----> file ($CATALINA_HOME/conf/catalina.policy) if your web applications ----> require permissions that are not enabled by default (such as connecting ----> to network ports). You are urged to test your applications with ----> Tomcat 4.0-b5 running under the security manager now, so that this ----> upcoming change will not be disruptive. To do so, start Tomcat 4.0 ----> with the command "$CATALINA_HOME/bin/catalina.sh start -security" ----> (Unix) or "%CATALINA_HOME%\bin\catalina start -security" (Windows). ----> UPCOMING 変更点注意: ----> Tomcat 4.0の将来のベータ発表において、デフォルトの活動中のモードが ----> セキュリティ・マネージャー(現在のものは1を使わないことで欠場する ----> よりはむしろ)の下で、Tomcatを実行することになっていることになるこ ----> とは、ありそうです。 ----> あなたのWebアプリケーションがデフォルト(ネットワーク・ポートに ----> つながることのような)によって可能にされない許可を必要とするならば、 ----> これはポリシー許可ファイル($CATALINA_HOME/conf/catalina.policy)を ----> 編集することを必要とするかもしれません。 ----> あなたは、あなたのアプリケーションをこの近づく変更点が分裂させる ----> ことにはならならないように、さてセキュリティ・マネージャーの下で ----> 実行しているTomcat 4.0-b5でテストするよう説得されます。 ----> そうするために、Tomcat 4.0を命令「$CATALINA_HOME/bin/catalina.sh ----> start -security」(Unix)または「%CATALINA_HOME%\bin\catalina start ----> -security」(Windows)で開始してください ============ NEW FEATURES: ============ ======= 新機能: ======= --------------------- Catalina New Features: --------------------- ---------------- Catalina 新機能: ---------------- Facades: The servlet API implementation objects that are passed to a servlet are now protected by facades. This avoids a security vulnerability (that existed only when Tomcat 4.0 was *not* run under a security manager) that allowed servlets to call arbitrary public methods on these classes via Java reflection. NOTE: While facades solve this particular problem, servlets can do many other negative things (like shutting down Tomcat by executing System.exit(0)) unless you run Tomcat under a security manager. Facades: servletにパスされるservlet API実装オブジェクトは、現在facadeによって 保護されています。 これは、Javaリフレクションを経たこれらのクラスの任意のパブリックメソッドと言う servletsを許したセキュリティ脆弱性(Tomcat 4.0がセキュリティ・マネージャーの 下で実行される*ない*場合であったときだけ、それが存在しました)を避けます。 注: facadesがこの特定の問題を解決するが、あなたがセキュリティ・マネージャーの下で Tomcatを実行しない限り、servletsは多くの他の否定のもの(System.exit(0)を 実行することによってTomcatをシャットダウンすることのような)をすることができます。 ------------------- Jasper New Features: ------------------- -------------------- Webapps New Features: -------------------- ========================== BUG FIXES AND IMPROVEMENTS: ========================== ------------------ Catalina Bug Fixes: ------------------ JSP Source Exposure Vulnerability: Previous versions of Tomcat would expose the source code to a JSP page, on some JDK platforms, when a request URL like this was processed: JSPソース露出脆弱性: 若干のJDKプラットホームで、Tomcatの前のバージョンはJSPページにソース・コード を公開します。そのとき、要求URLはこのように処理されました: http://localhost:8080/examples/jsp/num/numguess.jsp%00 The problem occurs because the null character (%00) causes extension mapping to fail, so this URL is passed to the default file-serving servlet. If the web application is running in an unpacked directory structure, the JDK's implementation of the File I/O methods is typically written in C, and the C runtimes will not have any problem treating the null character as a filename terminator. Now, Tomcat 4.0 will throw HTTP error 400 (bad request) if you use invalid characters (including %00) in your request URLs. 無効な文字(%00)が拡張に失敗するために写像することを引き起こすので、 問題は起こりますので、このURLはservletをfile-servingしているデフォルトにパスされます。 Webアプリケーションが取り出されたディレクトリ構造で実行しているならば、 ファイルI/OメソッドのJDKの実装はCで一般的に書かれます、そして、C実行時には 無効な文字をファイル名ターミネータとみなしている少しの問題もあることにはならなりません。 さて、あなたがあなたの要求URLにおいて無効な文字(%00を含むこと) を使うならば、Tomcat 4.0はHTTPエラー400(悪い要求)を投げることになります。 StandardClassLoader: Correct resource existence checks when using a URL. This was causing automatic class reloading to fail in some cases. StandardClassLoader: URLを使うとき、リソース存在チェックを訂正してください。 これは、自動のクラスに若干の場合に失敗するために再ロードすることを引き起こしていました。 Bootstrap: Preload additional classes necessary to pass all unit test and Watchdog tests (and run many other test applications) when a security manager is enabled. Previously, problems could occur with ServletContext.getResourcePaths() and ServletResponse.setLocale(). Bootstrap: 全てのユニットをパスするために必要な更なるクラスがテストする Preloadとセキュリティ・マネージャーが許可を与えられるWatchdogテスト (そして、多くの他のテスト・アプリケーションを実行します)。 以前に、問題はServletContext.getResourcePaths()とServletResponse.setLocale() で起こることがありました。 ---------------- Jasper Bug Fixes: ---------------- ----------------- Webapps Bug Fixes: ----------------- ============================ KNOWN ISSUES IN THIS RELEASE: ============================ ------------------------------------------ Redeploying From a Web Application Archive: ------------------------------------------ If you attempt to undeploy, then redeploy, an application from the same web application archive file URL (where the URL refers to an actual WAR file, not to a directory), the redeploy will fail with error "zip file is closed". There appears to be a problem in the JDK's JarURLConnection class where JAR files are cached, even after they are closed, so that a request for a connection to the same URL returns the previous JarFile object instead of a new one. As a workaround, you should do one of the following: あなたがする、undeploy、そして移動させます(同じWebアプリケーション・アーカイブ・ファイルURL(ディレクトリ以外に、URLが実際のWARファイルを呼ぶところ)からのアプリケーション)移動させますエラーで失敗することになります「zipファイルは、閉じています」。 彼らが閉じられた後でさえ、同じURLとのつながりの要求が新しいものでなくて前のJarFileオブジェクトを返すように、JARファイルがたくわえられるJDKのJarURLConnectionクラスの中の問題であるように見えます。 次善策として、あなたは以下のうちの1つをするはずです: * Change the URL of the web application archive each time you redeploy. * Webアプリケーション・アーカイブの各時URLを変えます、あなたは移動させます。 * Deploy from an unpacked directory (on the same server) instead of from a WAR file (this is often more convenient in a development environment anyway). * WARファイル(これは、多くの場合どのようにでも開発環境においてより便利です)からのでなくて取り出されたディレクトリ(同じサーバーで)からの展開。 -------------------------- Tomcat 4.0 and XML Parsers: -------------------------- Previous versions of Tomcat 4.0 exposed the XML parser used by Jasper (the JAXP/1.1 reference implementation) to web applications. This is no longer the case, because Jasper loads its parser with a new class loader instead. Keep the following points in mind when considering how to use XML parsers in Tomcat 4.0 and your web applications: Tomcat 4.0の前のバージョンは、WebアプリケーションにJasper(JAXP/1.1のリファレンス実装)によって使用されるXMLパーサーを公開しました。 Jasperがその代わりにそのパーサーに新しいクラス・ローダーを積むので、これは場合でもはやはありません。 Tomcat 4.0とあなたのWebアプリケーションでXMLパーサーを使用する方法を考慮するとき、以下の点を覚えておいてください: * If you wish to make the JAXP/1.1 RI XML parser available to all web applications, simply move the "jaxp.jar" and "crimson.jar" files from the "$TOMCAT_HOME/jasper" directory to the "$TOMCAT_HOME/lib" directory. * あなたがJAXP/全てのWebアプリケーションが利用できる1.1RI XMLパーサーを作りたいならば、単に「$TOMCAT_HOME/碧玉」ディレクトリから「$TOMCAT_HOME/lib」ディレクトリまで「jaxp.jar」と「crimson.jar」ファイルを移動してください。 * If you wish to make another XML parser that is JAXP/1.1-compatible available to all web applications, install that parser into the "$TOMCAT_HOME/lib" directory and remove "jaxp.jar" and "crimson.jar" from the "$TOMCAT_HOME/jasper" directory. It has been reported that Xerces 1.3.1 can be used in this fashion, but 2.x alpha releases can not be. * あなたがJAXP/1.1互換である別のXMLパーサーを全てのWebアプリケーションが利用できるようにしたいならば、「$TOMCAT_HOME/lib」ディレクトリにそのパーサーをインストールしてください、そして、「$TOMCAT_HOME/碧玉」ディレクトリから「jaxp.jar」と「crimson.jar」を削除してください。 Xerces 1.3.1がこの流儀において使われることができると報告されました、しかし、2.xアルファ・リリースがあることはありえません。 * If you wish to use an XML parser (such as Xerces) in the WEB-INF/lib directory of your web application, this should now be possible, because of the modified JAXP 1.1 parser mentioned below. * あなたがあなたのWebアプリケーションのWeb-INF/libディレクトリにおいてXMLパーサー(例えばXerces)を使用したいならば、これはさて可能なはずですと、修正されたJAXP 1.1のため、パーサーが下で言及しました。 WARNING: Tomcat 4.0 now ships with a modified version of the JAXP/1.1 (Final) "jaxp.jar" and "crimson.jar" files in the "jasper" subdirectory. The "sealed" attribute has been removed from the manifest file for these two JARs, to avoid "package sealing violation" errors that were caused by them in a JDK 1.3 environment. You MUST NOT replace these files with a different (or later) release of JAXP, unless that later release has had the sealed attribute removed, or you will encounter "package sealing violation" errors when trying to use a different XML parser in a web application. WARNING: さてTomcat 4.0 JAXP/1.1の修正されたバージョンで船 (Final) 「jasper」サブディレクトリの「jaxp.jar」と「crimson.jar」ファイル。 1.3の1JDK環境においてそれらに起因した「違反を封じているパッケージ」エラーを避けるために、「密封された」属性は、これらの2つのjarのために明白なファイルから削除されました。 その後のリリースには削除される密封された属性がなかった限り、あなたはこれらのファイルをJAXPの異なる(または後で)発表と、取り替えてはなりません、あるいは、Webアプリケーションで異なるXMLパーサーを使用しようと試みるとき、あなたは「違反を封じているパッケージ」エラーに遭遇することになります。 -------------------- MOD_WEBAPP Connector: -------------------- A new version of the Apache 1.3 side of the MOD_WEBAPP connector is included in this release, in the "connectors" directory. It has not been tested heavily yet, so it should be considered experimental. 「コネクタ」ディレクトリでは、MOD_WEBAPPコネクタのapache 1.3サイドの 新しいバージョンは、このリリースに含められます。 それは重くまだテストされませんでしたので、それは実験的であるとみなされるはずです。