アカウント名:
パスワード:
1)Windowsと64-bit *nixは、外部から任意のコードが実行される可能性がある。
2) 32-bit *nixは、任意のコードが実行される心配は少ないが、httpdのサブプロセスが、SIGSEGVで落ちて再起動する。
ということなので、32-bit *nixでも繰り返しプロセスが落されてDOS攻撃される可能性は残っているそうです。
ただ、CVSで既に修正(Apach
ISSが「対策パッチ」を配ってるけど、役立たずだって。ホント?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
ちょっと面倒なことになってるらしい。 (スコア:2, 参考になる)
1)Windowsと64-bit *nixは、外部から任意のコードが実行される可能性がある。
2) 32-bit *nixは、任意のコードが実行される心配は少ないが、httpdのサブプロセスが、SIGSEGVで落ちて再起動する。
ということなので、32-bit *nixでも繰り返しプロセスが落されてDOS攻撃される可能性は残っているそうです。
ただ、CVSで既に修正(Apach
Re:ちょっと面倒なことになってるらしい。 (スコア:1)
>ただ、CVSで既に修正(Apache2.0のみ)されているはずのものをISSがバグとして公表したらしく、話がややこしくなっているようです。
ISS社のFUD?いや、知らんけど。
以前SNORTにセキュリティホールがあるとの情報が流れた事がありましたが、 [srad.jp]それは現場ではまずしないであろう設定にしている場合に限られるバグであって、報道(?)はISS社によるFUDにすぎないと開発者に喝破されています。
今回のをFUDというと少々言い過ぎかもしれないけれども、セキュリティ関係の企業としてはこういう情報を流せば点数を稼げるだろうから、バグフィックスの途上であろうとなかろうと遠慮なく公表するんだろうな、と思うのです。
#ちなみに、「Please note that the patch provided by ISS does not correct this vulnerability. [apache.org]」...ISSが「対策パッチ」を配ってるけど、役立たずだって。ホント?
gy0
Re:ちょっと面倒なことになってるらしい。 (スコア:2, 参考になる)
Apache 1.3 のほうの修正は src/main/http_protocol.c 1.317 [apache.org], 1.318, 1.319 が関係ありそうです。
(ちなみに、 2.0 のほうの修正は modules/http/http_protocol.c 1.438 [apache.org], 1.439 だと思います。)
ぱっとコードを見たところ、バグ自体は単純なもののように見えますが、こういうバグが一つ入り込むだけで弱点になってしまうので、つくづく、サーバを書くのは大変だと思います。
// ぼくは Apache のコードを真面目に読んだことなどないので、間違ったことを言っている可能性、大です。
鵜呑みにしてみる?