by
Anonymous Coward
on 2002年10月06日 14時30分
(#178137)
セキュリティホールmemo [ryukoku.ac.jp]によると、一つ目の脆弱性は特定のプラットフォームだけだし、二つ目の脆弱性は、「UseCanonicalName が off で、かつ DNS でワイルドカード '*' を利用している場合に」だそうだし、三つ目の脆弱性は、「Apache HTTP server benchmarking tool」を使っている場合だけみたいです。識者の解説求む。
上記のChangeLog内の"SECURITY"という項目を拾うと、1.3.27に関するSecurity Fixは、CAN-2002-0839 [mitre.org](SYSV共有メモリに基づくスコアボードに問題)、CAN-2002-0840 [mitre.org](UseCanonicalNameがoffでかつDNSでワイルドカードを利用していると問題)、CAN-2002-0843 [mitre.org](ベンチマークツールabに問題)の3つです。
2.0.43に関するSecurity Fixは、CAN-2002-0840 [mitre.org]と、"Allow POST requests and CGI scripts to work when DAV is enabled on the location."の2つです。CAN-2002-0839 [mitre.org]とCAN-2002-0843 [mitre.org]は2.0.43には該当しません。
全員がアップデートする必要ある? (スコア:1, 興味深い)
#私は良く分からないのでAC
Re:全員がアップデートする必要ある? (スコア:2, 参考になる)
とりあえずChangeLog貼っておきます。
- ChangeLog for Apache 1.3.27 [apache.org]
- ChangeLog for Apache 2.0.43 [apache.org]
上記のChangeLog内の"SECURITY"という項目を拾うと、1.3.27に関するSecurity Fixは、CAN-2002-0839 [mitre.org](SYSV共有メモリに基づくスコアボードに問題)、CAN-2002-0840 [mitre.org](UseCanonicalNameがoffでかつDNSでワイルドカードを利用していると問題)、CAN-2002-0843 [mitre.org](ベンチマークツールabに問題)の3つです。2.0.43に関するSecurity Fixは、CAN-2002-0840 [mitre.org]と、"Allow POST requests and CGI scripts to work when DAV is enabled on the location."の2つです。CAN-2002-0839 [mitre.org]とCAN-2002-0843 [mitre.org]は2.0.43には該当しません。
てことで、全員がアップデートする必要はなく、アップデートする必要があるかどうかはApacheのバージョンによって違っています。