アカウント名:
パスワード:
Debian Stretch。
モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。HTTP/2(CVE-2018-1302)もやってない。<FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。
唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。
スラドでしか脆弱性情報をしいれていないので()ためになります
キミが英語読めないのは仕方ないのにしてもサーバ管理しているんだったらスラド以外に定番のセキュリティホール memo [ryukoku.ac.jp]ぐらいは読もうよ
↑最近は政治系のゴミみたいな情報を要り交ぜてくれいるからSN比は下がってるけど 政治部分を読み飛ばせば日本語のセキュリティ情報サイトの中では一番よくまとまってるよ
セキュリティホール memo [ryukoku.ac.jp]より引用
[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org](Apache, 2018.03.26)
announce@httpd.apache.org ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released [apache.org] の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org] のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ [apache.org] を見ると、httpd-2.4.32.tar.bz2 [apache.org] なんてファイルがふつうに存在するのですよね。 よくわからん。
それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。
low: Possible out of bound read in mod_cache_socache (CVE-2018-1303)。 2.4.6〜2.4.29 に影響。
low: Possible write of after free on HTTP/2 stream shutdown (CVE-2018-1302)。 2.4.17〜2.4.29 に影響。
low: Possible out of bound access after failure in reading the HTTP request (CVE-2018-1301)。 2.4.1〜2.4.29 に影響。
low: Weak Digest auth nonce generation in mod_auth_digest (CVE-2018-1312)。 2.4.1〜2.4.29 に影響。
low: bypass with a trailing newline in the file name (CVE-2017-15715)。 2.4.1〜2.4.29 に影響。
low: Out of bound write in mod_authnz_ldap when using too small Accept-Language values (CVE-2017-15710)。 2.4.1〜2.4.29 に影響。
medium: Tampering of mod_session data for CGI applications (CVE-2018-1283)。 2.4.1〜2.4.29 に影響。
それぞれの脆弱性の、・重要度・内容・影響範囲のバージョン・SVE番号
必要情報が過不足無くまとまっており一次情報へのリンクもある情報公開のスピードもスラドより圧倒的に速い
ということでスラドでセキュリティ情報チェックするより役に立つ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
手元サーバざっと確認 (スコア:1)
Debian Stretch。
モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。
とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。
それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。
HTTP/2(CVE-2018-1302)もやってない。
<FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。
唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。
Re: (スコア:0)
スラドでしか脆弱性情報をしいれていないので()ためになります
Re: (スコア:0)
キミが英語読めないのは仕方ないのにしても
サーバ管理しているんだったらスラド以外に定番のセキュリティホール memo [ryukoku.ac.jp]ぐらいは読もうよ
↑最近は政治系のゴミみたいな情報を要り交ぜてくれいるからSN比は下がってるけど
政治部分を読み飛ばせば日本語のセキュリティ情報サイトの中では一番よくまとまってるよ
Re:手元サーバざっと確認 (スコア:1)
セキュリティホール memo [ryukoku.ac.jp]より引用
[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org]
(Apache, 2018.03.26)
announce@httpd.apache.org ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released [apache.org] の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org] のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ [apache.org] を見ると、httpd-2.4.32.tar.bz2 [apache.org] なんてファイルがふつうに存在するのですよね。 よくわからん。
それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。
low: Possible out of bound read in mod_cache_socache (CVE-2018-1303)。 2.4.6〜2.4.29 に影響。
low: Possible write of after free on HTTP/2 stream shutdown (CVE-2018-1302)。 2.4.17〜2.4.29 に影響。
low: Possible out of bound access after failure in reading the HTTP request (CVE-2018-1301)。 2.4.1〜2.4.29 に影響。
low: Weak Digest auth nonce generation in mod_auth_digest (CVE-2018-1312)。 2.4.1〜2.4.29 に影響。
low: bypass with a trailing newline in the file name (CVE-2017-15715)。 2.4.1〜2.4.29 に影響。
low: Out of bound write in mod_authnz_ldap when using too small Accept-Language values (CVE-2017-15710)。 2.4.1〜2.4.29 に影響。
medium: Tampering of mod_session data for CGI applications (CVE-2018-1283)。 2.4.1〜2.4.29 に影響。
それぞれの脆弱性の、
・重要度
・内容
・影響範囲のバージョン
・SVE番号
必要情報が過不足無くまとまっており一次情報へのリンクもある
情報公開のスピードもスラドより圧倒的に速い
ということでスラドでセキュリティ情報チェックするより役に立つ