パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache の脆弱性を攻撃するツールが登場」記事へのコメント

  • by Anonymous Coward
    いまだにアップデートパッケージが出る気配が無い。
    大量被害の予感…
    • by Anonymous Coward
      FTPには、未サポートの扱いでRPMがあがってるみたいですよ。 とはいえ、おなじく大量被害の予感。
      • by Anonymous Coward
        ftp.cobalt.sun.com をざっと探してみたけど見つからない(泣)
        README に書かれている experimental ディレクトリが消えている…
        • by pierre (2749) on 2002年06月26日 9時52分 (#113821) 日記
          FTPサイトは ftp://ftp-eng.cobalt.com/pub/unsupported/ です。 Sun Cobalt Online Support内のページを見ると、6/28/2002頃にはPKGの公開を予定しているようですが [sun.com]、そこまで待つべきかどうか、判断が微妙ですよね。
          かと言って、RPMパッケージを自分でインストールすると、 後々のパッケージ管理と競合しそうで嫌なので、 僕の管理するサーバでは暫定的にリバースプロキシサーバを立てて誤魔化してます。
          親コメント
          • by pierre (2749) on 2002年06月26日 12時37分 (#113913) 日記
            自己フォローですが、リバースプロキシ導入のサマリを置いときます。

            目的:
                    ・本設定のために追加機材を使用しない。
                    ・既存の Apache の設定は一切変更しない。
                    ・作業に手間をかけない。

            方針:
                    ・外部からの 80/TCP への接続は 3128/TCP (Squid) にリダイレクト。
                    ・3128/TCP で稼動する Squid を httpd-accelerator mode で動かす。

            機材:
                    Cobalt RaQ3

            インストールするパッケージ:
                    squid-2.4.STABLE3-1.6.2.i386.rpm
                    openldap-1.2.12-3.i386.rpm
                    * RedHat Linux 6.2 update から get する。

            squid の設定:
                    hierarchy_stoplist cgi-bin ?
                    acl QUERY urlpath_regex cgi-bin \?
                    no_cache deny QUERY
                    redirect_rewrites_host_header off
                    acl all src 0.0.0.0/0.0.0.0
                    acl manager proto cache_object
                    acl localhost src 127.0.0.1/255.255.255.255
                    acl SSL_ports port 443 563
                    acl CONNECT method CONNECT
                    http_access allow manager localhost
                    http_access deny manager
                    http_access deny !Safe_ports
                    http_access deny CONNECT !SSL_ports
                    http_access allow localhost
                    http_access allow all
                    icp_access allow all
                    httpd_accel_host virtual
                    httpd_accel_uses_host_header on

            ipchainsによるリダイレクトの設定:
                    ipchains -A input -s [IP addess for itself]/255.255.255.255 -d [IP addess for itself]/255.255.255.255 80:80 -p 6 -j ACCEPT -l
                    ipchains -A input -s [IP addess for itself]/255.255.255.255 -d 127.0.0.1/255.255.255.255 80:80 -p 6 -j ACCEPT -l
                    ipchains -A input -s 127.0.0.1/255.255.255.255 -d 127.0.0.1/255.255.255.255 80:80 -p 6 -j ACCEPT -l
                    ipchains -A input -s 0.0.0.0/0.0.0.0 -d [IP addess for itself]/255.255.255.255 80:80 -p 6 -j REDIRECT 3128
                    ipchains -A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 3128:3128 -p 6 -j REJECT -l

                    *最初の3行は、ホスト自身から80/TCPへのアクセスを許可する設定。
                      4行目は他ホストからの80/TCPを3128/TCPで処理させる設定。
                      5行目は他ホストからの3128/TCPへの直接接続を禁止する設定。

            動作確認:
                    /var/log/squid/access.log, /var/log/httpd/access を見て
                    意図した動作であるかどうかを確認する。

                    正しく動いていないときは ipchains -F 。

            不正なチャンク形式エンコードに対する脆弱性の解消確認:
                    Packet Storm あたりから入手した exploit コードを用いてテストする。

                    Apache のエラーログに、

                            [Wed Jun 26 12:34:05 2002] [notice] child pid 10607 exit signal Segmentation fault (11)

                    が出なくて、Squid のアクセスログに

                            1025062349.972 6 61.206.141.236 NONE/413 1213 NONE error:request-too-large - NONE/- -

                    が出れば、たぶんOK。
            親コメント
            • by pierre (2749) on 2002年06月26日 17時07分 (#114074) 日記
              もういっこ自己フォロー。
              先の squid.conf はテスト用設定で http_access allow all なんて
              危険な設定が入ってるからリバースプロキシだけじゃなく、
              オープンなプロキシとして動いてしまいます。

              もうちょっとマシな設定はこれ。
              acl の virtualdomain とか virtualhost は
              環境に合わせて調整が必要です。

              hierarchy_stoplist cgi-bin ?

              acl QUERY urlpath_regex cgi-bin \?
              no_cache deny QUERY

              redirect_rewrites_host_header off

              acl all src 0.0.0.0/0.0.0.0
              acl manager proto cache_object
              acl localhost src 127.0.0.1/255.255.255.255
              acl SSL_ports port 443 563
              acl Safe_ports port 80 # http
              acl Safe_ports port 21 # ftp
              acl Safe_ports port 443 563 # https, snews
              acl Safe_ports port 70 # gopher
              acl Safe_ports port 210 # wais
              acl Safe_ports port 1025-65535 # unregistered ports
              acl Safe_ports port 280 # http-mgmt
              acl Safe_ports port 488 # gss-http
              acl Safe_ports port 591 # filemaker
              acl Safe_ports port 777 # multiling http
              acl CONNECT method CONNECT
              acl virtualdomain dstdomain www.example.co.jp
              acl virtualhost dst xxx.xxx.xxx.xxx

              http_access allow manager localhost
              http_access deny manager
              http_access deny !Safe_ports
              http_access deny CONNECT !SSL_ports
              http_access allow virtualdomain
              http_access allow virtualhost

              icp_access allow all

              httpd_accel_host virtual

              httpd_accel_uses_host_header on
              親コメント
            • でもウチの会社で使っているのは共有ホスティングなので
              業者の対応次第だったりします(泣)。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...