Ende des Lebenszyklus von Apache 2.2

Question 1

Apache ist Open-Source-Software, das heißt, sie kann von jedem gewartet werden, der daran interessiert ist.

Darüber hinaus ist Apache ein wesentlicher Bestandteil jeder Linux-Distribution, von denen beispielsweise RHEL / CentOS / Oracle Linux 6.x über Apache 2.2 verfügt und bis November 2020 unterstützt wird. Und die Betreuer jeder Distribution beheben Fehler in Apache (und anderen Softwarepaketen) selbst.

Daher ist das tatsächliche Datum des Lebensendes von Apache 2.2 nicht vorhersehbar.

Answer

Apache ist Open-Source-Software, das heißt, sie kann von jedem gewartet werden, der daran interessiert ist.

Darüber hinaus ist Apache ein wesentlicher Bestandteil jeder Linux-Distribution, von denen beispielsweise RHEL / CentOS / Oracle Linux 6.x über Apache 2.2 verfügt und bis November 2020 unterstützt wird. Und die Betreuer jeder Distribution beheben Fehler in Apache (und anderen Softwarepaketen) selbst.

Daher ist das tatsächliche Datum des Lebensendes von Apache 2.2 nicht vorhersehbar.

Question 2

Obwohl es kein offizielles Ende des Lebenszyklus für Apache 2.2 gibt, gibt es einige Maßnahmen, mit denen Sie einen geeigneten Übergangszeitpunkt bestimmen können:

Funktionsunterstützung (oft über Module, zB modssl)
Einhaltung aktueller Standards (z. B. TLSv1.2)
Verfügbarkeit (Backporting) von Bugfixes
Aktualität von Sicherheitsupdates (z. B. Logjam)

Aus meiner Sicht wurden in den letzten Jahren mehrere dieser Grenzen überschritten. Insbesondere Apache 2.2 mit modssl bietet keinen Fix für dasLogjam-Sicherheitslückenoch nicht, aber Apache 2.4 hat dies schon seit einiger Zeit.

Vor einigen Jahren kam die SNI-Unterstützung für Apache 2.2 nur langsam an – lange Zeit war es ein Apache 2.4-Feature, das über einen inoffiziellen Patch zurückportiert wurde.

Ich verwende Apache 2.2 seit Jahren und habe mich erst vor ein paar Monaten entschieden, auf 2.4 umzusteigen (einer unserer Server hatte eine zusätzliche SSL-Anforderung, die derzeit nur Apache 2.4 erfüllen kann), daher haben wir derzeit einige 2.2-Server und einige 2.4-Server. Letztendlich möchte ich nur einen einzigen Server-Stack unterstützen. Ihre Gründe können unterschiedlich sein, aber dies waren die wichtigen Punkte für meine Entscheidung.

Answer

Obwohl es kein offizielles Ende des Lebenszyklus für Apache 2.2 gibt, gibt es einige Maßnahmen, mit denen Sie einen geeigneten Übergangszeitpunkt bestimmen können:

Funktionsunterstützung (oft über Module, zB modssl)
Einhaltung aktueller Standards (z. B. TLSv1.2)
Verfügbarkeit (Backporting) von Bugfixes
Aktualität von Sicherheitsupdates (z. B. Logjam)

Aus meiner Sicht wurden in den letzten Jahren mehrere dieser Grenzen überschritten. Insbesondere Apache 2.2 mit modssl bietet keinen Fix für dasLogjam-Sicherheitslückenoch nicht, aber Apache 2.4 hat dies schon seit einiger Zeit.

Vor einigen Jahren kam die SNI-Unterstützung für Apache 2.2 nur langsam an – lange Zeit war es ein Apache 2.4-Feature, das über einen inoffiziellen Patch zurückportiert wurde.

Ich verwende Apache 2.2 seit Jahren und habe mich erst vor ein paar Monaten entschieden, auf 2.4 umzusteigen (einer unserer Server hatte eine zusätzliche SSL-Anforderung, die derzeit nur Apache 2.4 erfüllen kann), daher haben wir derzeit einige 2.2-Server und einige 2.4-Server. Letztendlich möchte ich nur einen einzigen Server-Stack unterstützen. Ihre Gründe können unterschiedlich sein, aber dies waren die wichtigen Punkte für meine Entscheidung.

Question 3

Aushttp://www.apache.org/dist/httpd/Anouncement2.4.html:

Bitte beachten Sie, dass das Apache Web Server Project Wartungsversionen der Version 2.2.x nur bis Juni 2017 bereitstellt und darüber hinaus einige Sicherheitspatches bis mindestens Dezember 2017. Während dieser Zeit werden minimale Wartungspatches für 2.2.x erwartet und Benutzern wird dringend empfohlen, ihre Umstellung auf die Version 2.4.x von httpd umgehend abzuschließen, um von einer viel größeren Auswahl kleinerer Sicherheits- und Fehlerbehebungen sowie neuer Funktionen zu profitieren.

Answer

Aushttp://www.apache.org/dist/httpd/Anouncement2.4.html:

Bitte beachten Sie, dass das Apache Web Server Project Wartungsversionen der Version 2.2.x nur bis Juni 2017 bereitstellt und darüber hinaus einige Sicherheitspatches bis mindestens Dezember 2017. Während dieser Zeit werden minimale Wartungspatches für 2.2.x erwartet und Benutzern wird dringend empfohlen, ihre Umstellung auf die Version 2.4.x von httpd umgehend abzuschließen, um von einer viel größeren Auswahl kleinerer Sicherheits- und Fehlerbehebungen sowie neuer Funktionen zu profitieren.

Question 4

Das offizielle Lebensende für Apache 2.2 war der 1. Januar 2018 (sieheApacheStartseite):

Apache httpd 2.2 – Lebensende 01.01.2018

Wie bereits angekündigt, hat das Apache HTTP Server Project die gesamte Entwicklung und Patch-Überprüfung der Release-Reihe 2.2.x eingestellt.

Das Apache HTTP Server Project hatte sich lange verpflichtet, bis Juni 2017 Wartungsversionen der Version 2.2.x bereitzustellen. Die endgültige Version 2.2.34 wurde im Juli 2017 veröffentlicht. Für die Versionen 2.2.x werden keine weiteren Bewertungen von Fehlerberichten oder Sicherheitsrisiken berücksichtigt oder veröffentlicht.

Der ersteoffizielle Ankündigungwar der 5. Juli 2016.

Dies gilt für alle unsere 2.2-Benutzer. Ihre Zeit läuft ab.

Mit der heutigen Ankündigung von Apache 2.4.23 hat die Apache Software Foundation den im letzten Monat vereinbarten Zeitplan für das End-of-Life (EOL) von Apache 2.2 aufgenommen.

Daher wird Apache 2.2 nach dem 30. Juni 2017 keine neuen Versionen mehr erhalten. Ich würde zu diesem Zeitpunkt eine letzte Version erwarten. Apache 2.2 wird am 31. Dezember 2017 vollständig eingestellt und nach diesem Datum wird es keine Wartung mehr geben.

Hintergrund

Die Entwickler des Apache HTTP-Servers sind fast ausschließlich Freiwillige, die einen Teil ihrer Freizeit der Wartung der Software widmen. Aus diesem Grund können sie frei wählen, wofür sie diese Zeit verwenden möchten, und für die meisten ist das hauptsächlich die Wartung der 2.4-Codebasis, neuer Funktionen oder Verbesserungen sowie 2.6/3.0 oder einfach 2.next, wie ich es gerne nenne. Dies führt zu dem Problem, dass nicht genügend Entwickler Zeit damit verbringen können oder wollen, Fehlerbehebungen oder Release-Kandidaten von 2.2 zu überprüfen, und es sind drei Entwickler erforderlich, um solche Änderungen oder Releases zu überprüfen und freizugeben. Wenn Sie also nicht drei Leute zum Überprüfen und Abstimmen bringen können, warum sollten Sie sich dann überhaupt mit der Wartung beschäftigen?

Ein gutes Beispiel hierfür ist Apache 2.2.32, dessen Veröffentlichung zeitgleich mit 2.4.23 geplant war. Es gibt zwei Bugfixes, die schon seit einiger Zeit im Umlauf sind und überprüft und freigegeben werden müssen, denen aber noch eine Stimme fehlt. Dass das letzte Wochenende in den USA ein Feiertagswochenende war, hat die Sache nicht gerade erleichtert, aber da der Feiertag vorbei ist und 2.4.23 auf dem Markt ist, wird dies hoffentlich in den nächsten Tagen passieren, sodass die Veröffentlichung irgendwann nächste Woche erfolgen kann.

Das erste Mal wurde im Mai 2015 über das Ende von 2.2 abgestimmt. Dies wurde auf November 2015 verschoben, da die Akzeptanzrate von 2.4 zu diesem Zeitpunkt nicht sehr hoch war, da viele gepflegte Linux-Versionen/Distributionen noch Apache 2.2 enthielten und nicht auf 2.4 aktualisiert wurden. Diese Versionen/Distributionen sind mittlerweile bis auf wenige Ausnahmen selbst EOL. Diese verschobene Abstimmung fand schließlich letzten Monat statt und der Zeitplan wurde durch eine Umfrage vor der Abstimmung unter denjenigen festgelegt, die bereit waren, zu 2.2 beizutragen.

Wenn ich mir die Ergebnisse dieser Umfrage ansehe, sehe ich nur zwei Entwickler, die bereit sind, Fehler-/Sicherheitsfixes zu pflegen/zu überprüfen, und zwei, die bereit sind, neue Versionen bis Juni 2017 zu testen und dafür abzustimmen. Es sieht so aus, als ob der Rest nur bis zum Ende dieses Jahres dabei sein will. Danach könnte es also heikel werden, wenn nicht drei Stimmen eingeholt werden und 2.2 im Grunde vor Ende 2017 ausläuft.

Answer

Das offizielle Lebensende für Apache 2.2 war der 1. Januar 2018 (sieheApacheStartseite):

Apache httpd 2.2 – Lebensende 01.01.2018

Wie bereits angekündigt, hat das Apache HTTP Server Project die gesamte Entwicklung und Patch-Überprüfung der Release-Reihe 2.2.x eingestellt.

Das Apache HTTP Server Project hatte sich lange verpflichtet, bis Juni 2017 Wartungsversionen der Version 2.2.x bereitzustellen. Die endgültige Version 2.2.34 wurde im Juli 2017 veröffentlicht. Für die Versionen 2.2.x werden keine weiteren Bewertungen von Fehlerberichten oder Sicherheitsrisiken berücksichtigt oder veröffentlicht.

Der ersteoffizielle Ankündigungwar der 5. Juli 2016.

Dies gilt für alle unsere 2.2-Benutzer. Ihre Zeit läuft ab.

Mit der heutigen Ankündigung von Apache 2.4.23 hat die Apache Software Foundation den im letzten Monat vereinbarten Zeitplan für das End-of-Life (EOL) von Apache 2.2 aufgenommen.

Daher wird Apache 2.2 nach dem 30. Juni 2017 keine neuen Versionen mehr erhalten. Ich würde zu diesem Zeitpunkt eine letzte Version erwarten. Apache 2.2 wird am 31. Dezember 2017 vollständig eingestellt und nach diesem Datum wird es keine Wartung mehr geben.

Hintergrund

Die Entwickler des Apache HTTP-Servers sind fast ausschließlich Freiwillige, die einen Teil ihrer Freizeit der Wartung der Software widmen. Aus diesem Grund können sie frei wählen, wofür sie diese Zeit verwenden möchten, und für die meisten ist das hauptsächlich die Wartung der 2.4-Codebasis, neuer Funktionen oder Verbesserungen sowie 2.6/3.0 oder einfach 2.next, wie ich es gerne nenne. Dies führt zu dem Problem, dass nicht genügend Entwickler Zeit damit verbringen können oder wollen, Fehlerbehebungen oder Release-Kandidaten von 2.2 zu überprüfen, und es sind drei Entwickler erforderlich, um solche Änderungen oder Releases zu überprüfen und freizugeben. Wenn Sie also nicht drei Leute zum Überprüfen und Abstimmen bringen können, warum sollten Sie sich dann überhaupt mit der Wartung beschäftigen?

Ein gutes Beispiel hierfür ist Apache 2.2.32, dessen Veröffentlichung zeitgleich mit 2.4.23 geplant war. Es gibt zwei Bugfixes, die schon seit einiger Zeit im Umlauf sind und überprüft und freigegeben werden müssen, denen aber noch eine Stimme fehlt. Dass das letzte Wochenende in den USA ein Feiertagswochenende war, hat die Sache nicht gerade erleichtert, aber da der Feiertag vorbei ist und 2.4.23 auf dem Markt ist, wird dies hoffentlich in den nächsten Tagen passieren, sodass die Veröffentlichung irgendwann nächste Woche erfolgen kann.

Das erste Mal wurde im Mai 2015 über das Ende von 2.2 abgestimmt. Dies wurde auf November 2015 verschoben, da die Akzeptanzrate von 2.4 zu diesem Zeitpunkt nicht sehr hoch war, da viele gepflegte Linux-Versionen/Distributionen noch Apache 2.2 enthielten und nicht auf 2.4 aktualisiert wurden. Diese Versionen/Distributionen sind mittlerweile bis auf wenige Ausnahmen selbst EOL. Diese verschobene Abstimmung fand schließlich letzten Monat statt und der Zeitplan wurde durch eine Umfrage vor der Abstimmung unter denjenigen festgelegt, die bereit waren, zu 2.2 beizutragen.

Wenn ich mir die Ergebnisse dieser Umfrage ansehe, sehe ich nur zwei Entwickler, die bereit sind, Fehler-/Sicherheitsfixes zu pflegen/zu überprüfen, und zwei, die bereit sind, neue Versionen bis Juni 2017 zu testen und dafür abzustimmen. Es sieht so aus, als ob der Rest nur bis zum Ende dieses Jahres dabei sein will. Danach könnte es also heikel werden, wenn nicht drei Stimmen eingeholt werden und 2.2 im Grunde vor Ende 2017 ausläuft.

Ende des Lebenszyklus von Apache 2.2

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen