Apache 2.0.50 未満にDoS脆弱性

Apache 2.0.50 未満にDoS脆弱性 45

ストーリー by Oliver 2004年06月30日 15時00分
いくらあっても足りないメモリ部門より

Flanker曰く、"Apache 2.0.49 にDoS攻撃可能な脆弱性が見つかっています。CAN-2004-0493にはまだ詳細な情報が出てないみたいですが、発見者のサイトでは「2.*の古いバージョンはテストしていない、1.3.xは問題ない。」と記述されています。Apache Weekでは「2.0.46～2.0.49が影響、2.0.35～2.0.45が？」となっていますので、多くのバージョンに影響が及ぶみたいです。この問題は2.0.50-devではFixされているみたいですしFreeBSD/portsではApache2.0.49_3でFixとなっていますので、Apache2を利用しているサーバは速やかにFixバージョンへの移行又はパッチ当てをお勧めします。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索45コメント Log In/Create an Account

補足情報です。 (スコア:4, 参考になる)

by Flanker (22257) on 2004年06月30日 15時10分 (#579600)

Secunia [secunia.com] と osvdb [osvdb.org] にも情報があります。

--
腐乱化…もといFlanker
Apacheのその他の問題 (スコア:2, 参考になる)

by Anonymous Coward on 2004年06月30日 16時40分 (#579675)

タレこんだ気になって忘れていたようですが、今回の発見者でもあるGeorgi Guninski氏 [guninski.com]が5月17日にFull-Disclosure ML [netsys.com]でもらしている通り、 mod_sslにbuffer overflowの脆弱性があり [netsys.com] CAN-2004-0488 [mitre.org]、Apache-1.3系にはmod_ssl-2.8.18 [theaimsgroup.com]が出ております。
Apache-2系も標準でmod_sslを内包しているので同様の問題があり、今回と同じく2.0.50-devでは修正が入っております [apache.org]が、現状ではpatchという形ではリリースされておりません [apache.org]。Secuniaでの評価 [secunia.com]では今回のものよりも危険性が高いとされているにも係わらず、なぜかApache Weekにも記載されていない [apacheweek.com]ので、気をつけておいた方が良いかと思います。

それからこれは1.3系の話ですが、これまたGeorgi Guninski氏が6月10日に1.3.31以前のversionでmod_proxyにbuffer overflowの脆弱性があると報告 [guninski.com]しております。CAN-2004-0492 [mitre.org] Apache Week [apacheweek.com]によれば、この脆弱性は1.3.26-1.3.31までに存在するそうで、patch [apache.org]も提供されております。
- CAN-2004-0488はApache2.0.49_1でFix (スコア:1)
  
  by Flanker (22257) on 2004年07月01日 5時36分 (#580085)
  
  FreeBSD/portsではCAN-2004-0488はApache2.0.49_1でFixになっていますので、Apache2の最新版を利用していれば問題ありません。
  
  --
  腐乱化…もといFlanker
  
  シェア
  
  親コメント
- ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)
  
  by Anonymous Coward
  
  Ｏｐｅｎｓｓｌを利用していからではないでしょうか？＜他のサイトはしりませんけど
  修正していただけるものはしていただきたいですけど
  - Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)
    
    by Anonymous Coward
    
    #579675のACです。
    ＃30分制限にかかって、なかなか投稿できませんなぁ、、、
    
    > Ｏｐｅｎｓｓｌを利用していからではないでしょうか？
    
    2ちゃんねるで言うところの「釣り」だと信じたいのですが、もし本気で言っているのであれば、こちらをご一読することをお勧めいたします。
  - Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)
    
    by Anonymous Coward
    
    まぁマイナスモデよろしくってことだな。
  - Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)
    
    by Anonymous Coward
    
    > Ｏｐｅｎｓｓｌを利用していからではないでしょうか？
    
    これって
    
    -OpenSSLを利用してい「る」からではないでしょうか?
    -OpenSSLを利用してい「ない」からではないでしょうか?
    
    のどっちなんでしょうか。タイトルもすごく曖昧だし...
    
    # 自分が知らないだけで「いから」って言葉があるのだろうか?
- CAN-2004-0492 (スコア:0)
  
  by Anonymous Coward
  
  CAN-2004-0492 に関してはセキュリティセクションに掲載されていると思います。
  Apache1.3.xに脆弱性（プロキシサーバとして利用した場合） [srad.jp]
Apache 2.0.50が7月1日にリリースされました (スコア:2, 参考になる)

by SuperSouya (18827) on 2004年07月01日 18時41分 (#580475) 日記

Apache [apache.org] 2.0.50が7月1日にリリースされました。
ダウンロード [apache.org]
上記のリンクからダウンロードして、アップデートをして下さい。

--
Super Souya
- FreeBSD/portsもApache 2.0.50になりました。 (スコア:1)
  
  by Flanker (22257) on 2004年07月03日 7時31分 (#581484)
  
  CAN-2004-0488 [mitre.org]とCAN-2004-0493 [mitre.org]をFixしたApache2.0.50 [freshports.org]がリリースされています。FreeBSD/portsでApache2をご利用の方はportupgrade [freshports.org]等でのアップグレードをお勧めします。
  
  --
  腐乱化…もといFlanker
  
  シェア
  
  親コメント
IIS つかおうよ。 (スコア:0, 余計なもの)

by Anonymous Coward on 2004年06月30日 15時10分 (#579601)

そっちのほうが枯れてて安全だよ..
- Re:IIS つかおうよ。 (スコア:2, 興味深い)
  
  by visha (779) on 2004年06月30日 15時40分 (#579629) 日記
  
  publicfile(ぼそ)。用途によっちゃ最強です。
  
  # 実際今まさに本番中のイベントで使ってる。
  
  シェア
  
  親コメント
  - Re:IIS つかおうよ。 (スコア:2, おもしろおかしい)
    
    by n225 (16459) on 2004年06月30日 16時13分 (#579656) ホームページ日記
    
    でも、大先生はWN [northwestern.edu]を使ってます。
    なので、WNを使いましょう。
    
    シェア
    
    親コメント
    - Re:IIS つかおうよ。 (スコア:1)
      
      by visha (779) on 2004年06月30日 16時37分 (#579674) 日記
      
      大先生って誰?
      
      WNは2.2.2の頃試したことがあるけど、CGIだの検索機能だのが必要ない場合はWNじゃなきゃ、って気にはならないなぁ。
      
      # ネタ?
      
      シェア
      
      親コメント
      - Re:IIS つかおうよ。 (スコア:1)
        
        by n225 (16459) on 2004年07月01日 9時21分 (#580126) ホームページ日記
        
        つ検索結果1 [google.com]
        つ検索結果2 [google.com]
        
        # この系のネタは荒れるので、ここで辞めておこう。
        
        シェア
        
        親コメント
- Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年06月30日 15時16分 (#579606)
  
  「枯れてて安全」なApache1.x系はいかがですか？ :-)
  
  シェア
  
  親コメント
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    「枯れてて安全」なCERN httpd(ry
    - Re:IIS つかおうよ。 (スコア:0)
      
      by Anonymous Coward
      
      gopherのほうが(ry
- Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)
  
  by Anonymous Coward on 2004年06月30日 15時38分 (#579627)
  
  IISを導入してfirewallでport 80を塞ぐ。これ最強。
  
  シェア
  
  親コメント
  - Re:IIS つかおうよ。 (スコア:1, 参考になる)
    
    by Anonymous Coward on 2004年06月30日 22時30分 (#579901)
    
    IIS使う場合はこんな感じ。
    
    -IISインストール時に余計なものを入れない。
    (Webベースの管理ツールとかヘルプとか。
    入れた場合はサイトを別にする。)
    -IISLockdownTool(とURLScan)をインストールする。
    (Win2003なら不要)
    -余計なポートを塞ぐ。
    
    このくらいやっとけば、ApcheだろうがIISだろうが大差ない気がしないでもない。
    (IISもNIMDA以降静かだし、OSがSolarisだろうがLinuxだろうがWindowsだろうがパッチだらけだし・・・)
    
    シェア
    
    親コメント
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    port番号なんてデフォルトです。偉い人にはそれが分からんのです。
    
    # パクりなのでAC
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    えっLANケーブルを抜くのが正解じゃ？
- Re:IIS つかおうよ。 (スコア:1)
  
  by lucky (14762) on 2004年06月30日 15時41分 (#579630) 日記
  
  「IISを媒体にIEで閲覧するだけで感染するウィルス [srad.jp]」なんてものが、つい最近話題になったばかりなのに...
  
  シェア
  
  親コメント
  - いやいやそれは違う (スコア:0)
    
    by Anonymous Coward
    
    ＩＩＳは本当に枯れているので昔ほど悪ない。
    
    修正パッチをあてないで起こる事故は、アパッチつかってようが
    ＩＩＳ使ってようが同じで危険なのは確かだけど。
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    > 「IISを媒体にIEで閲覧するだけで感染するウィルス」なんてものが、つい最近話題になったばかりなのに...
    
    ここでいうIISって、IIS5.0の事だし、パッチが出てるのって3ヶ月近くも前の事だし
    
    まぁパッチを当てずに放置していりゃ、そりゃ脆弱性はいつまで経っても消えないでし
- Re:IIS？ (スコア:0, おもしろおかしい)
  
  by Anonymous Coward
  
  Illegal Information Security のことね。
- Re:IIS つかおうよ。 (スコア:0, おもしろおかしい)
  
  by Anonymous Coward
  
  すいません。営業はお客の前でやって下さい。
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    > そっちのほうが枯れてて安全だよ..
    >>すいません。営業はお客の前でやって下さい。
    しかも、おもいっくそ不当表示ではないですか。
    詐欺はいけませんね。
- Re:IIS つかおうよ。 (スコア:0)
  
  by Anonymous Coward
  
  自社製サーバIIS「枯れてるね。安全だね。(゜Д゜)ウマー。」 (C)マイクロソフト株式会社
  
  参考：元ネタ [srad.jp]
- たしかに枯れてる (スコア:0)
  
  by Anonymous Coward
  
  うちの周りではたしかに、IISは誰も使わないので枯れまくってまして、そのため、使わないので安全です。
  
  # ときどき水くらいやらないといけないかな？
  - Re:たしかに枯れてる (スコア:0)
    
    by Anonymous Coward
    
    そうやって、誰も存在すら忘れてるようなヤツはFixも頻繁に当てられていなかったりして、踏み台にされて被害が拡大する場合も少なからずあるようです。
    安心は禁物かと・・・
    # ってか、忘れるぐらいのヤツはネットから外しましょう
- 花も咲かない (スコア:0)
  
  by Anonymous Coward
  
  枯れているからして、今後花が咲くこともないし、果実が実ることもない。
  成長することもないし、そのまま朽ち果てて行くだけ
  
  少なくとも、私の周りではこんな感じです、ええ。
- Re:IIS つかおうよ。 (スコア:0)
  
  by Anonymous Coward
  
  /. だから当然のように Apache 擁護・IIS 非難の反応が多いわけ
  だけど、でも冷静に見ると Apache の穴は多すぎだよ。
  
  特定モジュール限定のバグで、実際は影響ない問題だったとしても、
  客の情報システム部の方針が「必ず最新版にあげること」となって
  いるので、結局全サーバの apache を更新せざるを得なか
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    イマドキ Apache を上げる程度で面倒なんだったらそんなとこには納入してほしくないな。モジュール云々もちゃんと選定と設定してないことの責任転嫁でしょ。
    
    # Apache 2 で納入してるんだとしたらそれはさらに問題だと思う
    # あれはまだ分かってる人が使うもんでしょ
    - Re:IIS つかおうよ。 (スコア:2, 参考になる)
      
      by Anonymous Coward on 2004年06月30日 22時09分 (#579883)
      
      > イマドキ Apache を上げる程度で面倒なんだったらそんな
      > とこには納入してほしくないな。
      
      セキュリティ情報おっかけて、客に説明して、スケジュール
      切って、停止アナウンスして、手順書書いて、入替して、
      報告する。
      
      これを毎度毎度やるのが面倒でないというあなたは偉い。
      
      # 「それが仕事だ」とか言うなら「Windows Update めんどくせー」
      # などと口が裂けても言わないよね。
      
      > モジュール云々もちゃんと選定と設定してないことの
      > 責任転嫁でしょ。
      
      使用していようと使用していまいと標準モジュールに穴が
      見つかれば入れ替えるというのが客先の情報システム部の方針。
      
      これ自体は別に悪いことではなく、管理対象のバージョンを
      統一して管理工数を減らそうという狙いだね。
      
      　- 現時点ではモジュール A は使っていない
      　- モジュール A に関する脆弱性発見
      　- 使っていないからアップグレードせず
      　- 忘れたころにモジュール A を使う
      　- 穴を付かれる
      
      というミスをなくせるし。
      
      ただ、毎回作業しなきゃいけないこっちの身にもなれってんだ。
      
      # まぁ客のとこに apache が何百とあるだろうと考えると、
      # 全部更新したくなる気持ちもわかるが。
      
      シェア
      
      親コメント
      - Re:IIS つかおうよ。（オフトピ:-1） (スコア:0)
        
        by Anonymous Coward
        
        下らない釣りには大量に釣られる厨房連中の中で、
        結構マトモなことを言う人もいたもんだと感心。
        
        まあ、このコメントに＋モデがつかないのが/.Jの限界なのだろうが。（ｗ
      - Re:IIS つかおうよ。 (スコア:0)
        
        by Anonymous Coward
        
        > # 「それが仕事だ」とか言うなら「Windows Update めんどくせー」
        > # などと口が裂けても言わないよね。
        
        当然です。それが仕事ならね。
        
        > ただ、毎回作業しなきゃいけないこっちの身にもなれってんだ。
        
        良心的じゃないのかな、むしろ。
        
        Re:IIS つかおうよ。 (スコア:1)
        
        by mocchino (13752) on 2004年07月01日 9時52分 (#580148)
        
        >世の中にはパッチ当てたくても当てられずに苦い思いをし続けた挙句にワームで大爆発、なんてケースもあるんだから。
        
        少なくとも、バージョンアップの前に既存提供機能に問題がないか
        試験をするので、遅れてるうちにワーム発生とか..
        
        お客の許可がでず入れられないとか...
        ここでも見かけたような事例は有りますね
        
        ただ働きでないと言う前提であれば
        「今動いてるのになんでバージョンアップする必要があるんだ」
        と言われないだけましのような気がしますねぇ
        
        シェア
        
        親コメント
  - Re:IIS つかおうよ。 (スコア:0)
    
    by Anonymous Coward
    
    >特定モジュール限定のバグで、実際は影響ない問題だったとしても、
    >客の情報システム部の方針が「必ず最新版にあげること」となって
    >いるので、結局全サーバの apache を更新せざるを得なかったりする。
    >もうめんどくさいったらありゃしない。
    
    ↓
    
    > /. だから当然のように Apache 擁護・IIS 非難の反応が多いわけ
    > だけど、でも冷静に見ると Apache の穴は多すぎだ
- Re:IIS つかおうよ。 (スコア:0)
  
  by Anonymous Coward
  
  立ち枯れてるの？
- Re:IIS つかおうよ。 (スコア:0)
  
  by Anonymous Coward
  
  khttpdは枯れてないので危険？
Fedora Core (スコア:0)

by Anonymous Coward on 2004年06月30日 20時13分 (#579785)

Fedora Core 1を使ってるんですが、apt-getしてもApacheが更新されないのは、まだアップデートがあがってない？
kernel.orgから取ってきているのですがねぇ。

＃間違ってたら恥ずかしいのでＡＣ
- Re:Fedora Core (スコア:1)
  
  by yaizawa (11984) on 2004年06月30日 23時38分 (#579953) ホームページ
  
  Apacheはkernel.orgではなくThe Apache HTTP Server Project [apache.org]が一時配布元です．
  
  シェア
  
  親コメント
- Re:Fedora Core (スコア:0)
  
  by Anonymous Coward
  
  Everybody make ! make ?
  - Re:Fedora Core (スコア:1)
    
    by yaizawa (11984) on 2004年06月30日 23時35分 (#579951) ホームページ
    
    Everybody make ! make ?
    
    ./configure忘れてますよー．
    # Autoconf/Automake/Libtool本買ったのでID．
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Apache 2.0.50 未満にDoS脆弱性 More ログイン

補足情報です。 (スコア:4, 参考になる)

Apacheのその他の問題 (スコア:2, 参考になる)

CAN-2004-0488はApache2.0.49_1でFix (スコア:1)

ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)

Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)

Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)

Re:ほとんどのサイトがmod_sslをつかっていない？ (スコア:0)

CAN-2004-0492 (スコア:0)

Apache 2.0.50が7月1日にリリースされました (スコア:2, 参考になる)

FreeBSD/portsもApache 2.0.50になりました。 (スコア:1)

IIS つかおうよ。 (スコア:0, 余計なもの)

Re:IIS つかおうよ。 (スコア:2, 興味深い)

Re:IIS つかおうよ。 (スコア:2, おもしろおかしい)

Re:IIS つかおうよ。 (スコア:1)

Re:IIS つかおうよ。 (スコア:1)

Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)

Re:IIS つかおうよ。 (スコア:1, 参考になる)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:1)

いやいやそれは違う (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS？ (スコア:0, おもしろおかしい)

Re:IIS つかおうよ。 (スコア:0, おもしろおかしい)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

たしかに枯れてる (スコア:0)

Re:たしかに枯れてる (スコア:0)

花も咲かない (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:2, 参考になる)

Re:IIS つかおうよ。（オフトピ:-1） (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:1)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Re:IIS つかおうよ。 (スコア:0)

Fedora Core (スコア:0)

Re:Fedora Core (スコア:1)

Re:Fedora Core (スコア:0)

Re:Fedora Core (スコア:1)