Apache 2.2.6, 2.0.61, 1.3.39 いっせいにリリース 34
ストーリー by yoosee
バージョンアップはお早めに 部門より
バージョンアップはお早めに 部門より
iida 曰く、
Apache HTTPサーバ 2.2.6、 2.0.61、 1.3.39 がいっせいにリリースされた。 セキュリティー・フィクスが中心で、 CVE-2006-5752、 CVE-2007-3304への対応をはじめ、 2.x系列では (リリース・メモでは2006-1862だが) CVE-2007-1862、 CVE-2007-1863、 CVE-2007-3847などへの対応も含まれているそうだ。
mime.typesファイルが大幅に更新されたのと、 マニュアルの切れたリンク (バグ・レポートも出してみるもんだ) の訂正が、個人的にはうれしい。 タレコミ時点ではmod_ssl、Apache-SSLともに対応版は未リリースのようだ。
mod_ssl 2.8.29-1.3.39 (スコア:3, 参考になる)
Apache-SSLは、しばらく前からウェブ・ページ [apache-ssl.org] (1.3.34) とFTPサイト [ox.ac.uk] (1.3.37) とで最新版の表記がズレたままだ。
iida
Re:mod_ssl 2.8.29-1.3.39 (スコア:1)
2006年10月29日の日付だから、この場合ズレているというよりは、
Web側の更新をさぽっているだけなのではないかと。
オープンソースってこういうところで手抜きされているところが
多いですねぇ。
××日本ユーザー会みたいなところなんか特に。
1.3.x 使ってますが (スコア:0)
Re:1.3.x 使ってますが (スコア:5, すばらしい洞察)
Re:1.3.x 使ってますが (スコア:3, おもしろおかしい)
サーバのバージョンを隠していればOk
# らしいよw
Re:1.3.x 使ってますが (スコア:4, 興味深い)
今は空前のGopherブーム [google.co.jp]なので、新しいGopher実装が出てますお。
mod_status以外のは平気なのかな?
Re:1.3.x 使ってますが (スコア:1)
それは必ずしもOKとは言えないかも知れない。
サーバのバージョンは隠すのが常識? [srad.jp]
# 隠すとなんか突っ込まれるらしいよ。
# えらくこだわってるのが居たから。
## 今回のアップデート内容が自鯖の構成にまったく関係しなければええんでない?
## 後々構成変えるつもりならポカ避けに当てといてもいいかもしんないけど。
Re:1.3.x 使ってますが (スコア:1, 参考になる)
Re:1.3.x 使ってますが (スコア:0)
添削してみるテスツ (スコア:0)
>らしいよwww
くらい強調しとけば良かったの鴨
Re:添削してみるテスツ (スコア:1, おもしろおかしい)
くらいがよかったと思います。
Re:添削してみるテスツ (スコア:1)
>くらいがよかったと思います。
ああ。これだ!
これにしとけばよかった・・・
# by .... やっぱ隠しとこう
Re:1.3.x 使ってますが (スコア:1)
># えらくこだわってるのが居たから。
こだわってる人にツッコミ入れられるから、
バージョンは隠さないほうがいい/隠すことを主張しないほうがいい
というような論法は、バージョンを隠すと攻撃が減りますよというのと
同じ程度の説得力しかないですね。
本質を見失っている。
Re:1.3.x 使ってますが (スコア:1)
舌足らずでしたかね。
バージョンを隠すとエクスプロイトを必ず突っ込まれるとやたらと主張する方がおられたので、
まあそういうこともあるそうから、それでOKってのはマズイんじゃないの?ってことだったんですが。
# なんか上では「ネタにマジレス」とか言われてるし。
# 不調だなぁ。
# もう少しわかりやすく書くべきなんだろうな。
Re:1.3.x 使ってますが (スコア:0)
「バージョンを隠せばOk」というのは嘘であるし、冗談とはいえ
真に受ける人が出ないとも限らない。
「バージョンを隠す」というセキュリティ対策は、「石橋を叩いて渡る」
程度の慎重さなのはわかりきったこと。
それは別に否定すべきところでもないでしょう。
まじめに慎重な人をバカにしているだけのジョークは、正直言ってセンスがない。
Re:1.3.x 使ってますが (スコア:1, すばらしい洞察)
たとえば今。
Re:1.3.x 使ってますが (スコア:0)
あっ、なんてコトを!
Re:1.3.x 使ってますが (スコア:0)
Re:1.3.x 使ってますが (スコア:0)
Re:1.3.x 使ってますが (スコア:1)
セキュリティー・フィクス (スコア:0)
「セキュリティー修正」となぜ言えない?
Re:セキュリティー・フィクス (スコア:2, すばらしい洞察)
Re:セキュリティー・フィクス (スコア:5, おもしろおかしい)
Hiroki (REO) Kashiwazaki
Re:セキュリティー・フィクス (スコア:1)
# ミッチーでも可
Re:セキュリティー・フィクス (スコア:0)
:wq
Re:セキュリティー・フィクス (スコア:0)
> 「セキュリティー修正」となぜ言えない?
修正したとは限らないというか、実は脆弱性を固定させてたりして…
fix [goo.ne.jp] 「フィックスする」って言葉を「それで確定する」って意味と「それを直す」って意味のどちらでも使われたりするから紛らわしい…
Re:セキュリティー・フィクス (スコア:0)
「セキュリティ」となぜ言えない?
Re:セキュリティー・フィクス (スコア:0)
そんな寸詰まりな発音、言いにくくってしようがねえやい。
Re:セキュリティー・フィクス (スコア:0)
Re:セキュリティー・フィクス (スコア:0)
↓は全然意味わかんなくて困る。
「 CVE-2006-5752、 CVE-2007-3304への対応をはじめ、
2.x系列では (リリース・メモでは2006-1862だが)
CVE-2007-1862、 CVE-2007-1863、 CVE-2007-3847などへの
対応も含まれているそうだ」
IDじゃなくて内容書こうよ。