Apache 2.0.50 未満にDoS脆弱性 45
ストーリー by Oliver
いくらあっても足りないメモリ 部門より
いくらあっても足りないメモリ 部門より
Flanker曰く、"Apache 2.0.49 にDoS攻撃可能な脆弱性が見つかっています。CAN-2004-0493にはまだ詳細な情報が出てないみたいですが、発見者のサイトでは「2.*の古いバージョンはテストしていない、1.3.xは問題ない。」と記述されています。Apache Weekでは「2.0.46~2.0.49が影響、2.0.35~2.0.45が?」となっていますので、多くのバージョンに影響が及ぶみたいです。この問題は2.0.50-devではFixされているみたいですしFreeBSD/portsではApache2.0.49_3でFixとなっていますので、Apache2を利用しているサーバは速やかにFixバージョンへの移行又はパッチ当てをお勧めします。"
補足情報です。 (スコア:4, 参考になる)
腐乱化…もといFlanker
Apacheのその他の問題 (スコア:2, 参考になる)
Apache-2系も標準でmod_sslを内包しているので同様の問題があり、今回と同じく2.0.50-devでは修正が入っております [apache.org]が、現状ではpatchという形ではリリースされておりません [apache.org]。Secuniaでの評価 [secunia.com]では今回のものよりも危険性が高いとされているにも係わらず、なぜかApache Weekにも記載されていない [apacheweek.com]ので、気をつけておいた方が良いかと思います。
それからこれは1.3系の話ですが、これまたGeorgi Guninski氏が6月10日に1.3.31以前のversionでmod_proxyにbuffer overflowの脆弱性があると報告 [guninski.com]しております。CAN-2004-0492 [mitre.org] Apache Week [apacheweek.com]によれば、この脆弱性は1.3.26-1.3.31までに存在するそうで、patch [apache.org]も提供されております。
CAN-2004-0488はApache2.0.49_1でFix (スコア:1)
腐乱化…もといFlanker
ほとんどのサイトがmod_sslをつかっていない? (スコア:0)
修正していただけるものはしていただきたいですけど
Re:ほとんどのサイトがmod_sslをつかっていない? (スコア:0)
#30分制限にかかって、なかなか投稿できませんなぁ、、、
> Opensslを利用していからではないでしょうか?
2ちゃんねるで言うところの「釣り」だと信じたいのですが、もし本気で言っているのであれば、こちらをご一読することをお勧めいたします。
Re:ほとんどのサイトがmod_sslをつかっていない? (スコア:0)
Re:ほとんどのサイトがmod_sslをつかっていない? (スコア:0)
これって
-OpenSSLを利用してい「る」からではないでしょうか?
-OpenSSLを利用してい「ない」からではないでしょうか?
のどっちなんでしょうか。タイトルもすごく曖昧だし...
# 自分が知らないだけで「いから」って言葉があるのだろうか?
CAN-2004-0492 (スコア:0)
Apache1.3.xに脆弱性(プロキシサーバとして利用した場合) [srad.jp]
Apache 2.0.50が7月1日にリリースされました (スコア:2, 参考になる)
ダウンロード [apache.org]
上記のリンクからダウンロードして、アップデートをして下さい。
Super Souya
FreeBSD/portsもApache 2.0.50になりました。 (スコア:1)
腐乱化…もといFlanker
IIS つかおうよ。 (スコア:0, 余計なもの)
Re:IIS つかおうよ。 (スコア:2, 興味深い)
publicfile(ぼそ)。用途によっちゃ最強です。
# 実際今まさに本番中のイベントで使ってる。
Re:IIS つかおうよ。 (スコア:2, おもしろおかしい)
なので、WNを使いましょう。
Re:IIS つかおうよ。 (スコア:1)
大先生って誰?
WNは2.2.2の頃試したことがあるけど、CGIだの検索機能だのが必要ない場合はWNじゃなきゃ、って気にはならないなぁ。
# ネタ?
Re:IIS つかおうよ。 (スコア:1)
つ 検索結果2 [google.com]
# この系のネタは荒れるので、ここで辞めておこう。
Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)
Re:IIS つかおうよ。 (スコア:0)
Re:IIS つかおうよ。 (スコア:0)
Re:IIS つかおうよ。 (スコア:1, おもしろおかしい)
Re:IIS つかおうよ。 (スコア:1, 参考になる)
-IISインストール時に余計なものを入れない。
(Webベースの管理ツールとかヘルプとか。
入れた場合はサイトを別にする。)
-IISLockdownTool(とURLScan)をインストールする。
(Win2003なら不要)
-余計なポートを塞ぐ。
このくらいやっとけば、ApcheだろうがIISだろうが大差ない気がしないでもない。
(IISもNIMDA以降静かだし、OSがSolarisだろうがLinuxだろうがWindowsだろうがパッチだらけだし・・・)
Re:IIS つかおうよ。 (スコア:0)
# パクりなのでAC
Re:IIS つかおうよ。 (スコア:0)
Re:IIS つかおうよ。 (スコア:1)
いやいやそれは違う (スコア:0)
修正パッチをあてないで起こる事故は、アパッチつかってようが
IIS使ってようが同じで危険なのは確かだけど。
Re:IIS つかおうよ。 (スコア:0)
ここでいうIISって、IIS5.0の事だし、パッチが出てるのって3ヶ月近くも前の事だし
まぁパッチを当てずに放置していりゃ、そりゃ脆弱性はいつまで経っても消えないでし
Re:IIS? (スコア:0, おもしろおかしい)
Re:IIS つかおうよ。 (スコア:0, おもしろおかしい)
Re:IIS つかおうよ。 (スコア:0)
>>すいません。営業はお客の前でやって下さい。
しかも、おもいっくそ不当表示ではないですか。
詐欺はいけませんね。
Re:IIS つかおうよ。 (スコア:0)
参考:元ネタ [srad.jp]
たしかに枯れてる (スコア:0)
# ときどき水くらいやらないといけないかな?
Re:たしかに枯れてる (スコア:0)
安心は禁物かと・・・
# ってか、忘れるぐらいのヤツはネットから外しましょう
花も咲かない (スコア:0)
成長することもないし、そのまま朽ち果てて行くだけ
少なくとも、私の周りではこんな感じです、ええ。
Re:IIS つかおうよ。 (スコア:0)
だけど、でも冷静に見ると Apache の穴は多すぎだよ。
特定モジュール限定のバグで、実際は影響ない問題だったとしても、
客の情報システム部の方針が「必ず最新版にあげること」となって
いるので、結局全サーバの apache を更新せざるを得なか
Re:IIS つかおうよ。 (スコア:0)
# Apache 2 で納入してるんだとしたらそれはさらに問題だと思う
# あれはまだ分かってる人が使うもんでしょ
Re:IIS つかおうよ。 (スコア:2, 参考になる)
> とこには納入してほしくないな。
セキュリティ情報おっかけて、客に説明して、スケジュール
切って、停止アナウンスして、手順書書いて、入替して、
報告する。
これを毎度毎度やるのが面倒でないというあなたは偉い。
# 「それが仕事だ」とか言うなら「Windows Update めんどくせー」
# などと口が裂けても言わないよね。
> モジュール云々もちゃんと選定と設定してないことの
> 責任転嫁でしょ。
使用していようと使用していまいと標準モジュールに穴が
見つかれば入れ替えるというのが客先の情報システム部の方針。
これ自体は別に悪いことではなく、管理対象のバージョンを
統一して管理工数を減らそうという狙いだね。
- 現時点ではモジュール A は使っていない
- モジュール A に関する脆弱性発見
- 使っていないからアップグレードせず
- 忘れたころにモジュール A を使う
- 穴を付かれる
というミスをなくせるし。
ただ、毎回作業しなきゃいけないこっちの身にもなれってんだ。
# まぁ客のとこに apache が何百とあるだろうと考えると、
# 全部更新したくなる気持ちもわかるが。
Re:IIS つかおうよ。(オフトピ:-1) (スコア:0)
結構マトモなことを言う人もいたもんだと感心。
まあ、このコメントに+モデがつかないのが/.Jの限界なのだろうが。(w
Re:IIS つかおうよ。 (スコア:0)
> # などと口が裂けても言わないよね。
当然です。それが仕事ならね。
> ただ、毎回作業しなきゃいけないこっちの身にもなれってんだ。
良心的じゃないのかな、むしろ。
Re:IIS つかおうよ。 (スコア:1)
少なくとも、バージョンアップの前に既存提供機能に問題がないか
試験をするので、遅れてるうちにワーム発生とか..
お客の許可がでず入れられないとか...
ここでも見かけたような事例は有りますね
ただ働きでないと言う前提であれば
「今動いてるのになんでバージョンアップする必要があるんだ」
と言われないだけましのような気がしますねぇ
Re:IIS つかおうよ。 (スコア:0)
>客の情報システム部の方針が「必ず最新版にあげること」となって
>いるので、結局全サーバの apache を更新せざるを得なかったりする。
>もうめんどくさいったらありゃしない。
↓
> /. だから当然のように Apache 擁護・IIS 非難の反応が多いわけ
> だけど、でも冷静に見ると Apache の穴は多すぎだ
Re:IIS つかおうよ。 (スコア:0)
Re:IIS つかおうよ。 (スコア:0)
Fedora Core (スコア:0)
kernel.orgから取ってきているのですがねぇ。
#間違ってたら恥ずかしいのでAC
Re:Fedora Core (スコア:1)
Apacheはkernel.orgではなくThe Apache HTTP Server Project [apache.org]が一時配布元です.
Re:Fedora Core (スコア:0)
Re:Fedora Core (スコア:1)
./configure忘れてますよー.
# Autoconf/Automake/Libtool本買ったのでID.