アカウント名:
パスワード:
1.3/2.0共に、Windows/Netware/32-bitUNIX/64-bitUNIX なんかだと、 「処理をしていた子供(微妙)が死亡する」ので、 「プロセスの上げなおしに資源を奪われ」たり「同一プロセスが処理している他の接続がうしなわれ」たり、しますが、 1.3で 64bit-UNIXを利用している場合には、「(プラットフォームによっては)のっとられる可能性があります」
Apache Project の Advisory には書いてある内容に従えば、それで合っていると思います。 ただ、子プロセスが落とされて立ち上げ直す、というのを繰り返したからといって、資源がどんどん減っていくようなことってあるのでしょうか。プロセスを fork するときに一時的に資源を食うだけなら DoS にはなりませんよね。 それと、 32-bit Unix と 64-bit Unix
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
影響の範囲 (スコア:0)
# だって1.3.25まだ上がってないから(T-T
Re:影響の範囲 (スコア:1)
だからUNIX 32bit版では、乗っ取られることはないんじゃないかと思われますが....。
それとデフォルトで有効になっ
Re:影響の範囲 (スコア:4, 参考になる)
>this will cause a segmentation violation and the child will terminate.
ということな様子。
全体としては、
1.3/2.0共に、Windows/Netware/32-bitUNIX/64-bitUNIX なんかだと、
「処理をしていた子供(微妙)が死亡する」ので、
「プロセスの上げなおしに資源を奪われ」たり「同一プロセスが処理している他の接続がうしなわれ」たり、しますが、
1.3で 64bit-UNIXを利用している場合
-- LightSpeed-J
Re:影響の範囲 (スコア:2, 参考になる)
Apache Project の Advisory には書いてある内容に従えば、それで合っていると思います。
ただ、子プロセスが落とされて立ち上げ直す、というのを繰り返したからといって、資源がどんどん減っていくようなことってあるのでしょうか。プロセスを fork するときに一時的に資源を食うだけなら DoS にはなりませんよね。
それと、 32-bit Unix と 64-bit Unix
鵜呑みにしてみる?
Re:影響の範囲 (スコア:1)
CNET Japan [sphere.ne.jp]に今回の経緯が掲載されています。
どうもISSはろくに確認もせずに大騒ぎをした模様。
Re:影響の範囲 (スコア:1)
ISS が今回の弱点について、 Windows 版以外は DoS しかできないという間違った判断をして、悪影響の大きさを考えずに公表したということのようですが、その背後にはもともと ISS が Apache 開発チームを信頼していないということがあるようですね。
ISS が間違った判断をしたことはともかく、「自分たちの判断が間違っていたらどうなるか」を考えずに公表したのは非難されるべきでしょう。
しかし、部外者としては、「コードを読んでセキュリティホールを見つける」なんて大変な作業ができる人がそうそういるとは思えないので、 Apache 開発チームにも何とか ISS とうまく付き合ってほしいものだと思ってしまいます。
鵜呑みにしてみる?