パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

mod_ssl 2.8.9以下に任意コード実行の脆弱性」記事へのコメント

  • AllowOverride None"すれば良いってことですか?
    • by u400 (9958) on 2002年07月01日 21時35分 (#116893) ホームページ
      元記事の任意コード実行の脆弱性 [securiteam.com]を見る限りではそうなっていますね。
      AllowOverride Noneすれば問題のコードにたどり着くことはないようです。
      Workaround:
      Disallow per-directory configuration files by only having "AllowOverride None" directives in your httpd.conf file, and restart the web server.

      でも、
      Impact:
      Apart from global configuration files, Apache allows per-directory configuration files. Therefore, the bug can be triggered by any regular user through specially crafted ".htaccess" files.

      とあるので、httpd.confか.htaccessからのみ発現する不具合のようです。したがって、
      内部からやられる可能性がなく、httpd.conf/.htaccessともに正常であれば、
      そのままでも大丈夫(全くぞっとしませんが)なのかもしれません。
      ちらっとソースも見ましたが、1行が1024バイト未満のhttpd.conf or .htaccessならば
      問題ないように見えます。
      #このあたり、かなり推測入ってますので間違ってたらすみません。
      #問題の*olineがどこからやってくるのか(たぶんEAPI?)
      #そこまでは追えなかったので、詳しい方フォロー願います。

      個人的にはmod_sslは縁のない代物だったのであまり気にしていませんでしたが、
      いや、勉強になりました。
      親コメント

最初のバージョンは常に打ち捨てられる。

処理中...