パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apacheにセキュリティホール」記事へのコメント

  • Advisory [apache.org] によれば、「この機能はデフォルトで有効になっている」(This functionality is enabled by default.)そうなのですが、「この機能」って何のことでしょう? httpd.conf で有効にしたり無効にしたりできる何かを指しているのでしょうか。
    --
    鵜呑みにしてみる?
    • アナウンスの内容から引用すると、

      Versions of the Apache web server up to and including 1.3.24 and 2.0 up to and including 2.0.36 contain a bug in the routines which deal with invalid requests which are encoded using chunked encoding. This bug can be triggered remotely by sending a carefully crafted invalid request. This functionality is enabled by default.

      と書いてあるわけですが、まんなかの部分だけをテキトーに訳すと「チャンク形式エンコードされたリクエストが正しくない場合の処理にバグがある。」というところでしょうか。 僕は

      • ひょっとして、「this functionality」というのは、 chunked transfer coding [w3.org] を使った request を受け付ける機能、ということでしょうか。って、他のコメントをよく読んだら、 #109389 [srad.jp] で zeissmania さんもそう書かれていますね。確かに、 transfer coding という仕様は HTTP/1.0 にはなくて HTTP/1.1 で追加されたのだから、「機能」と呼んでもおかしくはないですね。

        だとすると、 SetEnv ディレクティブ [apache.org] で適切な環境変数 [apache.org]を設定して、 HTTP/1.0 サーバとして振る舞うように強制してやれば、 chunked transfer coding を使った req
        --
        鵜呑みにしてみる?
        • ただ、HTTP/1.1を無効にしてしまうと、
          NameBasedVirtualHostが使えなくなるので、
          ホスティングサイトにとってはかなりイタイと思われ・・・。
          --
          GUST NOTCH な気分でいこう!
          • ただ、HTTP/1.1を無効にしてしまうと、
            NameBasedVirtualHostが使えなくなるので、
            ホスティングサイトにとってはかなりイタイと思われ・・・。
            んでも force-response-1.0 とかした程度だったら別に問題はなくて。
            # どちらにしろ、 agent からは HTTP/1.1 リクエストが送られてきますし

            HTTP/1.0 でリクエストされた時も Host ヘッダさえきちんと付いていれば VirtualHost 処理されますよん。
            親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...