パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

XSS脆弱性を修正したApache 1.3.27 & 2.0.43 リリース」記事へのコメント

  • by Anonymous Coward on 2002年10月06日 14時30分 (#178137)
    セキュリティホールmemo [ryukoku.ac.jp]によると、一つ目の脆弱性は特定のプラットフォームだけだし、二つ目の脆弱性は、「UseCanonicalName が off で、かつ DNS でワイルドカード '*' を利用している場合に」だそうだし、三つ目の脆弱性は、「Apache HTTP server benchmarking tool」を使っている場合だけみたいです。識者の解説求む。

    #私は良く分からないのでAC

    • 全員がアップデートする必要はないようです。条件に該当する場合だけアップデートすればいいんじゃないでしょうか。

      とりあえずChangeLog貼っておきます。
      上記のChangeLog内の"SECURITY"という項目を拾うと、1.3.27に関するSecurity Fixは、CAN-2002-0839 [mitre.org](SYSV共有メモリに基づくスコアボードに問題)、CAN-2002-0840 [mitre.org](UseCanonicalNameがoffでかつDNSでワイルドカードを利用していると問題)、CAN-2002-0843 [mitre.org](ベンチマークツールabに問題)の3つです。
      2.0.43に関するSecurity Fixは、CAN-2002-0840 [mitre.org]と、"Allow POST requests and CGI scripts to work when DAV is enabled on the location."の2つです。CAN-2002-0839 [mitre.org]とCAN-2002-0843 [mitre.org]は2.0.43には該当しません。

      てことで、全員がアップデートする必要はなく、アップデートする必要があるかどうかはApacheのバージョンによって違っています。
      親コメント

※ただしPHPを除く -- あるAdmin

処理中...