「この機能」はデフォルトで有効 (#109522) | Apacheにセキュリティホール

「Apacheにセキュリティホール」記事へのコメント

記事ページを表示すべてのコメント取得

検索25コメント Log In/Create an Account

「この機能」はデフォルトで有効 (スコア:1)

by tix (7637) on 2002年06月18日 17時56分 (#109522) ホームページ

Advisory [apache.org] によれば、「この機能はデフォルトで有効になっている」（This functionality is enabled by default.）そうなのですが、「この機能」って何のことでしょう？ httpd.conf で有効にしたり無効にしたりできる何かを指しているのでしょうか。

--
鵜呑みにしてみる？
- Re:「この機能」はデフォルトで有効 (スコア:1)
  
  by pierre (2749) on 2002年06月18日 18時34分 (#109554) 日記
  
  アナウンスの内容から引用すると、
  Versions of the Apache web server up to and including 1.3.24 and 2.0 up to and including 2.0.36 contain a bug in the routines which deal with invalid requests which are encoded using chunked encoding. This bug can be triggered remotely by sending a carefully crafted invalid request. This functionality is enabled by default.
  と書いてあるわけですが、まんなかの部分だけをテキトーに訳すと「チャンク形式エンコードされたリクエストが正しくない場合の処理にバグがある。」というところでしょうか。僕は IIS 4.0の「チャンクエンコーディングされたポスト」の脆弱性に対する対策 (MS00-018) [microsoft.com]あたりに近い話なのかなあ、と思ってるんですけど、チャンクエンコードのことは普段はあまり意識してなかったので、httpd.conf で対処できるのかどうかは、まだ確認してません。
  
  シェア
  
  親コメント
  - Re:「この機能」はデフォルトで有効 (スコア:2, 参考になる)
    
    by tix (7637) on 2002年06月18日 19時22分 (#109581) ホームページ
    
    ひょっとして、「this functionality」というのは、 chunked transfer coding [w3.org] を使った request を受け付ける機能、ということでしょうか。って、他のコメントをよく読んだら、 #109389 [srad.jp] で zeissmania さんもそう書かれていますね。確かに、 transfer coding という仕様は HTTP/1.0 にはなくて HTTP/1.1 で追加されたのだから、「機能」と呼んでもおかしくはないですね。
    
    だとすると、 SetEnv ディレクティブ [apache.org] で適切な環境変数 [apache.org]を設定して、 HTTP/1.0 サーバとして振る舞うように強制してやれば、 chunked transfer coding を使った request を解釈しないようになるのかもしれません。 downgrade-1.0 や force-response-1.0 という環境変数を設定すると Apache の動きがどう変わるのかを知らないので、これでうまくいくかどうかわかりませんが。副作用も大きそうですし。
    
    やっぱり修正されたバージョンが出るまで静観かな……。
    
    --
    鵜呑みにしてみる？
    
    シェア
    
    親コメント
    - Re:「この機能」はデフォルトで有効 (スコア:1)
      
      by marusa (2274) <reversethis-{moc.liamg} {ta} {amayurash}> on 2002年06月18日 19時55分 (#109589) 日記
      
      ただ、HTTP/1.1を無効にしてしまうと、
      NameBasedVirtualHostが使えなくなるので、
      ホスティングサイトにとってはかなりイタイと思われ・・・。
      
      --
      GUST NOTCH な気分でいこう!
      
      シェア
      
      親コメント
      - Re:「この機能」はデフォルトで有効 (スコア:1)
        
        by tanji (6368) on 2002年06月18日 21時35分 (#109630) ホームページ
        
        ただ、HTTP/1.1を無効にしてしまうと、
        NameBasedVirtualHostが使えなくなるので、
        ホスティングサイトにとってはかなりイタイと思われ・・・。
        んでも force-response-1.0 とかした程度だったら別に問題はなくて。
        # どちらにしろ、 agent からは HTTP/1.1 リクエストが送られてきますし
        
        HTTP/1.0 でリクエストされた時も Host ヘッダさえきちんと付いていれば VirtualHost 処理されますよん。
        
        シェア
        
        親コメント
      - Re:「この機能」はデフォルトで有効 (スコア:1)
        
        by tix (7637) on 2002年06月18日 21時40分 (#109632) ホームページ
        
        #109581 [srad.jp] を書くときに、 HTTP/1.1 から 1.0 に落とすと一番困るのは何だろうとちょっと考えてみたのですが、 name-based virtual host [apache.jp] は思いつきませんでした（これくらい考えつけ＞ぼく）。たしかに、これが使えないと困る人は多そうですね。
        
        ということで、 #109581 を読んで何も考えずにいきなり httpd.conf に「SetEnv downgrade-1.0」とか書かないように！これで弱点が回避できるかどうか、ぼくにはわかりませんし、副作用はいろいろ考えられます。まさかそんな無謀な人はいないでしょうが、念のため。
        
        --
        鵜呑みにしてみる？
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Apacheにセキュリティホール More ログイン

「Apacheにセキュリティホール」記事へのコメント

「この機能」はデフォルトで有効 (スコア:1)

Re:「この機能」はデフォルトで有効 (スコア:1)

Re:「この機能」はデフォルトで有効 (スコア:2, 参考になる)

Re:「この機能」はデフォルトで有効 (スコア:1)

Re:「この機能」はデフォルトで有効 (スコア:1)

Re:「この機能」はデフォルトで有効 (スコア:1)

スラド