アカウント名:
パスワード:
Debian Stretch。
モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。HTTP/2(CVE-2018-1302)もやってない。<FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。
唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。
スラドでしか脆弱性情報をしいれていないので()ためになります
キミが英語読めないのは仕方ないのにしてもサーバ管理しているんだったらスラド以外に定番のセキュリティホール memo [ryukoku.ac.jp]ぐらいは読もうよ
↑最近は政治系のゴミみたいな情報を要り交ぜてくれいるからSN比は下がってるけど 政治部分を読み飛ばせば日本語のセキュリティ情報サイトの中では一番よくまとまってるよ
セキュリティホール memo [ryukoku.ac.jp]より引用
[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org](Apache, 2018.03.26)
announce@httpd.apache.org ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released [apache.org] の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org] のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ [apache.org] を見ると、httpd-2.4.32.tar.bz2 [apache.org] なんてファイルがふつうに存在するのですよね。 よくわからん。
それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。
low: Possible out of bound read in mod_cache_socache (CVE-2018-1303)。 2.4.6〜2.4.29 に影響。
low: Possible write of after free on HTTP/2 stream shutdown (CVE-2018-1302)。 2.4.17〜2.4.29 に影響。
low: Possible out of bound access after failure in reading the HTTP request (CVE-2018-1301)。 2.4.1〜2.4.29 に影響。
low: Weak Digest auth nonce generation in mod_auth_digest (CVE-2018-1312)。 2.4.1〜2.4.29 に影響。
low: bypass with a trailing newline in the file name (CVE-2017-15715)。 2.4.1〜2.4.29 に影響。
low: Out of bound write in mod_authnz_ldap when using too small Accept-Language values (CVE-2017-15710)。 2.4.1〜2.4.29 に影響。
medium: Tampering of mod_session data for CGI applications (CVE-2018-1283)。 2.4.1〜2.4.29 に影響。
それぞれの脆弱性の、・重要度・内容・影響範囲のバージョン・SVE番号
必要情報が過不足無くまとまっており一次情報へのリンクもある情報公開のスピードもスラドより圧倒的に速い
ということでスラドでセキュリティ情報チェックするより役に立つ
セキュリティホール memoは以前見てたけどサヨク臭がひどすぎてもう見てないよ電波浴は10年くらい前に飽きて辞めてるし
見てほしいなら、お前の政治的主張なんか知らんからセキュリティ情報の提供に徹しろってことよ
>RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう
という割り切り方をするという選択肢もあるんですけどねえ。。。
自分も見るの止めて久しいけどRSS自体ロストテクノロジーだし頭おかしい主張ばかりでSN比低すぎ
今は他にも情報源たくさんあるからね
オフトピ,-1
陳腐化して時代遅れで利用する価値がほとんどないという言い方ならまだしも失わてもいないのにロストテクノロジーというのはちょっと違うのでは?
他にも情報源たくさんには同感だし便利なことだと思います。
電波浴は10年くらい前に飽きて辞めてるし
そうなんだよねー。
サイトを継続的に更新するモチベーションを保つための方法として、
・自分の欲求を満たす(オナニーコンテンツを垂れ流したり自分の活動の宣言をしたりする)・広告収入を得る(アフィやアドセンスを貼る)
の2つがあるわけだけど、前者はぶっちゃ広告よりうざいから最近では人気無いんだよねそれに広告はAdBlockerで一律ブロックできる分オナニーコンテンツより除去が容易
セキュメモの政治ネタ叩くのやめたげてください><中の人小島さんはスラドも愛読しているっぽいので、このコメントも恐らく目にすることになるだろうしショックで更新停止しちゃったらセキュメモを愛用している僕も悲しいです
直接的な誹謗中傷ならともかく、スラドで「ネトウヨ」に批判される位なら平気なんじゃないの?叩かれるのがどうしても嫌な人ならそもそも政治ネタを載せない(政治議論は匿名サイトでやる)んじゃね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
手元サーバざっと確認 (スコア:1)
Debian Stretch。
モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。
とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。
それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。
HTTP/2(CVE-2018-1302)もやってない。
<FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。
唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。
Re: (スコア:0)
スラドでしか脆弱性情報をしいれていないので()ためになります
Re:手元サーバざっと確認 (スコア:0)
キミが英語読めないのは仕方ないのにしても
サーバ管理しているんだったらスラド以外に定番のセキュリティホール memo [ryukoku.ac.jp]ぐらいは読もうよ
↑最近は政治系のゴミみたいな情報を要り交ぜてくれいるからSN比は下がってるけど
政治部分を読み飛ばせば日本語のセキュリティ情報サイトの中では一番よくまとまってるよ
Re:手元サーバざっと確認 (スコア:1)
セキュリティホール memo [ryukoku.ac.jp]より引用
[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org]
(Apache, 2018.03.26)
announce@httpd.apache.org ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released [apache.org] の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org] のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ [apache.org] を見ると、httpd-2.4.32.tar.bz2 [apache.org] なんてファイルがふつうに存在するのですよね。 よくわからん。
それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。
low: Possible out of bound read in mod_cache_socache (CVE-2018-1303)。 2.4.6〜2.4.29 に影響。
low: Possible write of after free on HTTP/2 stream shutdown (CVE-2018-1302)。 2.4.17〜2.4.29 に影響。
low: Possible out of bound access after failure in reading the HTTP request (CVE-2018-1301)。 2.4.1〜2.4.29 に影響。
low: Weak Digest auth nonce generation in mod_auth_digest (CVE-2018-1312)。 2.4.1〜2.4.29 に影響。
low: bypass with a trailing newline in the file name (CVE-2017-15715)。 2.4.1〜2.4.29 に影響。
low: Out of bound write in mod_authnz_ldap when using too small Accept-Language values (CVE-2017-15710)。 2.4.1〜2.4.29 に影響。
medium: Tampering of mod_session data for CGI applications (CVE-2018-1283)。 2.4.1〜2.4.29 に影響。
それぞれの脆弱性の、
・重要度
・内容
・影響範囲のバージョン
・SVE番号
必要情報が過不足無くまとまっており一次情報へのリンクもある
情報公開のスピードもスラドより圧倒的に速い
ということでスラドでセキュリティ情報チェックするより役に立つ
Re: (スコア:0)
セキュリティホール memoは以前見てたけどサヨク臭がひどすぎてもう見てないよ
電波浴は10年くらい前に飽きて辞めてるし
見てほしいなら、お前の政治的主張なんか知らんからセキュリティ情報の提供に徹しろってことよ
Re:手元サーバざっと確認 (スコア:1)
>RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう
という割り切り方をするという選択肢もあるんですけどねえ。。。
Re: (スコア:0)
自分も見るの止めて久しいけど
RSS自体ロストテクノロジーだし
頭おかしい主張ばかりでSN比低すぎ
今は他にも情報源たくさんあるからね
Re:手元サーバざっと確認 (スコア:1)
オフトピ,-1
陳腐化して時代遅れで利用する価値がほとんどないという言い方ならまだしも
失わてもいないのにロストテクノロジーというのはちょっと違うのでは?
他にも情報源たくさんには同感だし便利なことだと思います。
Re: (スコア:0)
電波浴は10年くらい前に飽きて辞めてるし
見てほしいなら、お前の政治的主張なんか知らんからセキュリティ情報の提供に徹しろってことよ
そうなんだよねー。
サイトを継続的に更新するモチベーションを保つための方法として、
・自分の欲求を満たす(オナニーコンテンツを垂れ流したり自分の活動の宣言をしたりする)
・広告収入を得る(アフィやアドセンスを貼る)
の2つがあるわけだけど、前者はぶっちゃ広告よりうざいから最近では人気無いんだよね
それに広告はAdBlockerで一律ブロックできる分オナニーコンテンツより除去が容易
Re: (スコア:0)
セキュメモの政治ネタ叩くのやめたげてください><
中の人小島さんはスラドも愛読しているっぽいので、このコメントも恐らく目にすることになるだろうし
ショックで更新停止しちゃったらセキュメモを愛用している僕も悲しいです
Re: (スコア:0)
直接的な誹謗中傷ならともかく、スラドで「ネトウヨ」に批判される位なら平気なんじゃないの?
叩かれるのがどうしても嫌な人ならそもそも政治ネタを載せない(政治議論は匿名サイトでやる)んじゃね。