パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apacheにセキュリティホール」記事へのコメント

  • by Anonymous Coward
    英語が苦手なので私の読み違いかも知れませんが、CERT [cert.org]やApacheFoundationからのAdvisoryを見る限り、目下問題があるのはWin32と64bit-Unixだけのように見えるのですが。。

    # だって1.3.25まだ上がってないから(T-T
    • Windows版で、任意のコードが実行されてしまう。UNIX 64bit版で似たようなコードの実行の可能性有り。UNIX 32bitではsegmentation violationが起こる(つまりOSごとクラッシュ?)てことみたいです。
      だからUNIX 32bit版では、乗っ取られることはないんじゃないかと思われますが....。
      それとデフォルトで有効になっ
      • 32-bitUNIXだと、

          >this will cause a segmentation violation and the child will terminate.

        ということな様子。

        全体としては、

        1.3/2.0共に、Windows/Netware/32-bitUNIX/64-bitUNIX なんかだと、
        「処理をしていた子供(微妙)が死亡する」ので、
        「プロセスの上げなおしに資源を奪われ」たり「同一プロセスが処理している他の接続がうしなわれ」たり、しますが、
        1.3で 64bit-UNIXを利用している場合
        --
        -- LightSpeed-J
        • Re:影響の範囲 (スコア:2, 参考になる)

          1.3/2.0共に、Windows/Netware/32-bitUNIX/64-bitUNIX なんかだと、
          「処理をしていた子供(微妙)が死亡する」ので、
          「プロセスの上げなおしに資源を奪われ」たり「同一プロセスが処理している他の接続がうしなわれ」たり、しますが、
          1.3で 64bit-UNIXを利用している場合には、「(プラットフォームによっては)のっとられる可能性があります」

          Apache Project の Advisory には書いてある内容に従えば、それで合っていると思います。

          ただ、子プロセスが落とされて立ち上げ直す、というのを繰り返したからといって、資源がどんどん減っていくようなことってあるのでしょうか。プロセスを fork するときに一時的に資源を食うだけなら DoS にはなりませんよね。

          それと、 32-bit Unix と 64-bit Unix

          --
          鵜呑みにしてみる?
          • >どうしてこんなに違うのか、という点が一番よくわからない
            CNET Japan [sphere.ne.jp]に今回の経緯が掲載されています。
            どうもISSはろくに確認もせずに大騒ぎをした模様。
            • by tix (7637) on 2002年06月23日 15時41分 (#112046) ホームページ
              情報ありがとうございます。

              ISS が今回の弱点について、 Windows 版以外は DoS しかできないという間違った判断をして、悪影響の大きさを考えずに公表したということのようですが、その背後にはもともと ISS が Apache 開発チームを信頼していないということがあるようですね。

              ISS が間違った判断をしたことはともかく、「自分たちの判断が間違っていたらどうなるか」を考えずに公表したのは非難されるべきでしょう。

              しかし、部外者としては、「コードを読んでセキュリティホールを見つける」なんて大変な作業ができる人がそうそういるとは思えないので、 Apache 開発チームにも何とか ISS とうまく付き合ってほしいものだと思ってしまいます。
              --
              鵜呑みにしてみる?
              親コメント

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

処理中...