- up to 2.4.59

Up to 2.4.58; fixes CVE-2023-45802, CVE-2023-43622, CVE-2023-31122

- updated to 2.4.57

Up to 2.4.56; fixes CVE-2023-27522, CVE-2023-25690

Release 2 (by relup.sh)

Up to 2.4.55; fixes CVE-2022-37436, CVE-2022-36760, CVE-2006-20001

- versioned Obsoletes for old packages, fixed mod_mmap_static O, dropped O for never-existing packages

Up to 2.4.54; fixes  CVE-2022-31813, CVE-2022-30556, CVE-2022-30522, CVE-2022-29404, CVE-2022-28615, CVE-2022-28614, CVE-2022-28330, CVE-2022-26377

- up to 2.4.53; fixes CVE-2022-23943, CVE-2022-22721, CVE-2022-22720, CVE-2022-22719

Up to 2.4.52; fixes CVE-2021-44790, CVE-2021-44224

BR: curl-devel for mod_md

Rel 3; more openssl 3 changes from FC

Fix  undefined symbol: ERR_GET_FUNC with openssl 3 and apply patch from
previous commit.

Rel 2; fixes segfaults with itk mpm - https://bz.apache.org/bugzilla/show_bug.cgi?id=65627

Up to 2.4.51, Fixes CVE-2021-41773, CVE-2021-42013

- https://security-tracker.debian.org/tracker/CVE-2021-41773
- https://security-tracker.debian.org/tracker/CVE-2021-42013

Up to 2.4.20; fixes CVE-2021-41773, CVE-2021-41524 (both introduced in 2.4.49)

rebuild with openssl 3.0.0

Release 2 (by relup.sh)

Up to 2.4.49; fixes CVE-2021-40438, CVE-2021-39275, CVE-2021-36160, CVE-2021-34798, CVE-2021-33193

- relative symlinks, rpm.org does not like absolute ones

- updated todo

Up to 2.4.28

Rediff patches, make rpm4 more happy.

- unconditional noarch subpackages

Bump apr dependency to 1.7.0

/usr/sbin/httpd: symbol lookup error: /usr/sbin/httpd: undefined symbol: apr_thread_mutex_timedlock

- bump apr deps
- rel 2

- up to 2.4.46;Fixes:

  *) SECURITY: CVE-2020-11984 (cve.mitre.org)
     mod_proxy_uwsgi: Malicious request may result in information
     disclosure or RCE of existing file on the server running under a malicious
     process environment. [Yann Ylavic]

  *) SECURITY: CVE-2020-11993 (cve.mitre.org)
     mod_http2: when throttling connection requests, log statements
     where possibly made that result in concurrent, unsafe use of
     a memory pool. [Stefan Eissing]

  *) SECURITY:
     mod_http2: a specially crafted value for the 'Cache-Digest' header
     request would result in a crash when the server actually tries
     to HTTP/2 PUSH a resource afterwards.
     [Stefen Eissing, Eric Covener, Christophe Jaillet]

- up to 2.4.43; fixes CVE-2020-1934, CVE-2020-1927

- drop obsolete and outdated manual inclusion of rpm macros

- update to current intermediate mozilla recommendation

- up to 2.4.41

sort modules list for easier merging, keep one at a line

port misc changes from feat/conf-modules branch

- typo

- mod_socache_redis subpackage

- updated to 2.4.39

- updated to 2.4.38, fixes CVE-2018-17189, CVE-2018-17199, CVE-2019-0190

- up to 2.4.37; enable TLSv1.3 and disable 1.0/1.1

- rel 2; stronger dummy certificates as openssl 1.1.1 rejects weak certs

- up to 2.4.35

-release 3, nghttp2-libs requirement is enough for apache-mod_http2.

- release 2 (by relup.sh)

- up to 2.4.34

- release 2 (by relup.sh)

- up to 2.4.33

- update md5 and better permissions for /var/lib/httpd

- up to 2.4.32

- release 2 (by relup.sh)

- up to 2.4.29

- up to 2.4.28 (fixes CVE-2017-9798)

- added mod_brotli
- updated mod_lua BR to lua53 (configure prefers 5.3 > 5.2 > 5.1); if one wants 5.1, there is patch needed to allow choice

- up to 2.4.27; fixes few compatibility issues

add missing apr-util dependency to base

apr-util-1.5.4-3.x86_64 marks apache-base-2.4.26-3.x86_64 (req libaprutil-1.so.0()(64bit))

- rel 3; force new apr-util, too (new symbols)

- bump nghttp2 requirement for complete support

- rel 2; force new apr due to new symbols

- no longer needed (as of 2.4.26)

- updated to 2.4.26 (fixes CVE-2017-7679, CVE-2017-7668, CVE-2017-7659,
  CVE-2017-3169, CVE-2017-3167)
- reuseport patch removed (included in this release)
- lua-lib patch removed (reworked in a different way)
- mod_auth_digest and mod_charset_lite no longer marked experimental,
- enable proxy_http2 module

- rel 2; don't set SO_REUSEPORT when not needed; fix conf files generation

add LoadModule function to setup LoadModule directives

- up to 2.4.25; fixes CVE-2016-8743, CVE-2016-0736, CVE-2016-2161, CVE-2016-5387, CVE-2016-8740

update doc links to 2.4 version

add mod_{filter,headers,reqtimeout,rewrite} to apache package

common packages you want to install

drop webserver(reqtimeout)

too much copy paste in 2bd52d6

no such "module" is documented in webapps package README and unlikely
any webapp to use such in deps

- rel 2; fixes CVE-2016-5387

- up to 2.4.23

- up to 2.4.20

Drop MultiViews by default (it's confusing for many people using rewrites with QSA and causes higher hdd usage). rt#brak

- up to 2.4.18

- rel 3

revert b3d7d6d, really fix regexp

- typo

also exclude .user.ini

.htaccess is protected from apache-common.conf

secure access to vcs files

- use default mutext (depends on apr default) instead of forcing file mutex

use ErrorLogFromat default similar to prefork mpm

fix broken ErrorLogFormat. refs e13a60a

spaces need to be backslash escaped for optional fields (like client)
do not break existing log format, which log parsers assume, log vhost
like client optionally.
also do not enable it by default. stick to compiled in default

- pl for -mod_http2

up to 2.4.17, experimental http2 (h2) support

merged in from
https://icing.github.io/mod_h2/

see https://icing.github.io/mod_h2/howto.html

SSLUseStapling should not be enabled if using self-generated certs

- fix for 2.4 (we want it to be denied)

Log vhost in error log file.

update more places to add libtool --tag=CC

noarch subpackages

- up to 2.4.16
- STBR

drop old (upgrade to 2.2.0) mod_ssl trigger

drop httpd.conf symlink trigger as well. refs 5aeda90

mod_session_crypto Requires apr-util-crypto-openssl

(20019)DSO load failed: AH01845: The crypto library 'openssl' could not be loaded:
/usr/lib/apr-util-1/apr_crypto_openssl-1.so: cannot open shared object file: No such file or directory (apr_crypto_openssl-1.so: 0)

typo

enable restart delay at 100000ms

for full thread, see:
http://lists.pld-linux.org/mailman/pipermail/pld-devel-en/2014-October/024055.html

- x32 rebuild
- release 3 (by relup.sh)

add webserver(headers) provide

drop /etc/httpd/httpd.conf

it's obsolete for very long time already

mod_dav doesn't need these, don't pull requirements of config example

ever heard about 'loops'?

unified LoadModule directives

- up to 2.4.12; fixes CVE-2014-3583, CVE-2014-3581, CVE-2014-8109, CVE-2013-5704

- update to latest intermediate compatibility https://wiki.mozilla.org/Security/Server_Side_TLS

Yet keep ssl-unclean-shutdown for IE6-9.

Limit badness only to IE2-5. See
http://blogs.msdn.com/b/ieinternals/archive/2011/03/26/https-and-connection-close-is-your-apache-modssl-server-configuration-set-to-slow.aspx
for more information. Found by zawadaa.