パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

モジュールの脆弱性を修正したApache 2.0.48/1.3.29リリース」記事へのコメント

  • 「9 個」というあたりが臭いなぁと思って ViewCVS で 1.3.28 と HEAD の diff [apache.org] を見てみました。配列のサイズが 10 と埋め込みで定義されていて、関数に渡す時にはこの最大値が使われなかったということのようですね。

    # そのまま引用しようとしたら、投稿フィルタに引
    --

    -- cooper

    • by Anonymous Coward
      mod_alias.c 1.17 [apache.org]
      Revision: 1.17, Tue Jul 8 03:45:28 1997 UTC (6 years, 3 months ago) by akosut

      ここで問題のバグが入って6年3ヶ月に渡って気付かれなかった模様。
      今現役で動いてるApacheは1.xも2.xも全部影響受ける気がする。
      • by Anonymous Coward
        >今現役で動いてるApacheは1.xも2.xも全部影響受ける気がする。

        てか、未だに1.3.27以前を結構見るよ。
        もちろんパッチ当てた形跡無し。

        #他人様のサーバーにゃ手を出しちゃいけねぇよ。
        • 実際にセキュリティホール突いてみたんですか?

          debianみたいにバージョン上げずにバックポートしてる場合もあると思うんですが、それって普通にブラウザ等でアクセスする範囲内で判別つきます?。

          • > それって普通にブラウザ等でアクセスする範囲内で判別つきます?

             判別できないでしょうね。しかし1.3.9に1.3.28とか1.3.29までバックポートするって結構大変かも。

            # 何で1.3.9か、って?
            # 1.3.9を使い続けている所があって。
            # サーバのお守りを受託している会社が無気力、無能力で。
            # 勿論、単にアップデートしていないだけですが。
            親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...