パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apacheにセキュリティホール」記事へのコメント

  • Advisory [apache.org] によれば、「この機能はデフォルトで有効になっている」(This functionality is enabled by default.)そうなのですが、「この機能」って何のことでしょう? httpd.conf で有効にしたり無効にしたりできる何かを指しているのでしょうか。
    --
    鵜呑みにしてみる?
    • アナウンスの内容から引用すると、

      Versions of the Apache web server up to and including 1.3.24 and 2.0 up to and including 2.0.36 contain a bug in the routines which deal with invalid requests which are encoded using chunked encoding. This bug can be triggered remotely by sending a carefully crafted invalid request. This functionality is enabled by default.

      と書いてあるわけですが、まんなかの部分だけをテキトーに訳すと「チャンク形式エンコードされたリクエストが正しくない場合の処理にバグがある。」というところでしょうか。 僕は

      • ひょっとして、「this functionality」というのは、 chunked transfer coding [w3.org] を使った request を受け付ける機能、ということでしょうか。って、他のコメントをよく読んだら、 #109389 [srad.jp] で zeissmania さんもそう書かれていますね。確かに、 transfer coding という仕様は HTTP/1.0 にはなくて HTTP/1.1 で追加されたのだから、「機能」と呼んでもおかしくはないですね。

        だとすると、 SetEnv ディレクティブ [apache.org] で適切な環境変数 [apache.org]を設定して、 HTTP/1.0 サーバとして振る舞うように強制してやれば、 chunked transfer coding を使った req
        --
        鵜呑みにしてみる?
        • ただ、HTTP/1.1を無効にしてしまうと、
          NameBasedVirtualHostが使えなくなるので、
          ホスティングサイトにとってはかなりイタイと思われ・・・。
          --
          GUST NOTCH な気分でいこう!
          • #109581 [srad.jp] を書くときに、 HTTP/1.1 から 1.0 に落とすと一番困るのは何だろうとちょっと考えてみたのですが、 name-based virtual host [apache.jp] は思いつきませんでした(これくらい考えつけ>ぼく)。たしかに、これが使えないと困る人は多そうですね。

            ということで、 #109581 を読んで何も考えずにいきなり httpd.conf に「SetEnv downgrade-1.0」とか書かないように! これで弱点が回避できるかどうか、ぼくにはわかりませんし、副作用はいろいろ考えられます。まさかそんな無謀な人はいないでしょうが、念のため。
            --
            鵜呑みにしてみる?
            親コメント

身近な人の偉大さは半減する -- あるアレゲ人

処理中...