パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

モジュールの脆弱性を修正したApache 2.0.48/1.3.29リリース」記事へのコメント

  • 「9 個」というあたりが臭いなぁと思って ViewCVS で 1.3.28 と HEAD の diff [apache.org] を見てみました。配列のサイズが 10 と埋め込みで定義されていて、関数に渡す時にはこの最大値が使われなかったということのようですね。

    # そのまま引用しようとしたら、投稿フィルタに引
    --

    -- cooper

    • by Anonymous Coward
      mod_alias.c 1.17 [apache.org]
      Revision: 1.17, Tue Jul 8 03:45:28 1997 UTC (6 years, 3 months ago) by akosut

      ここで問題のバグが入って6年3ヶ月に渡って気付かれなかった模様。
      今現役で動いてるApacheは1.xも2.xも全部影響受ける気がする。
      • by Anonymous Coward
        >今現役で動いてるApacheは1.xも2.xも全部影響受ける気がする。

        てか、未だに1.3.27以前を結構見るよ。
        もちろんパッチ当てた形跡無し。

        #他人様のサーバーにゃ手を出しちゃいけねぇよ。
        • 実際にセキュリティホール突いてみたんですか?

          debianみたいにバージョン上げずにバックポートしてる場合もあると思うんですが、それって普通にブラウザ等でアクセスする範囲内で判別つきます?。

          • ブラウザー等といっても幅広い。
            w3mのように "v" キー1発でhtmlをplain textとして閲覧できたり、
            "=" キー1発でresponce headerや文字コードなどの情報を参照ができたり、
            framesetの構造を簡単に把握(?)できるものもあります。
            それらが困難なウェブブラウザーもあります。
            open sourceのブラウザーを改造してみたり、
            自分でブラウザーを新規
            • で、w3m を使えば、web サーバが単にバージョンアップしていない
              だけなのか、バージョン表記はそのままでパッチあててあるのかを
              区別できるんですか?
              • telnetのプロンプトに書かれるissueメッセージのバージョン番号と
                実際のOSのバージョン番号が異なっていることを
                パケットヘッダーを観察することによって判断できることと同じです。
                httpdがレスポンスヘッダーによって返すバージョン番号と
                実際のバージョン番号が違っていることを判断するための観察機能を
                持ち合わせるブラウザーを用意してもいいし、
              • やれやれ。

                > httpdがレスポンスヘッダーによって返すバージョン番号と
                > 実際のバージョン番号が違っていることを判断するための観察機能を
                > 持ち合わせるブラウザーを用意してもいいし、

                そんなブ
              • by Anonymous Coward on 2003年10月30日 22時48分 (#424117)
                > そんなブラウザは作れるの?

                どこかで公開されているexploit sample codeを混ぜれば良いだけでは?
                そんなもの誰でも簡単
                親コメント
              • つまり実際にセキュリティホール突いてみるしかないと。

                で、それは「普通にブラウザ等でアクセスする範囲内」であると。

                馬鹿だなぁ。
              • ここに出てくるブラウザーという用語の意味が曖昧ですが、
                RFC 2616のプロトコルのクライアントとしての役割を果たす
                ソフトウェアという意味でよろしいですね。

                そのようなソフトウェアを使って
                apache httpdが自称するバージョン情報に依存することなく
                実際に稼働しているapache httpd

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...