XSS脆弱性を修正したApache 1.3.27 & 2.0.43 リリース 26
ストーリー by Oliver
1.3を使うか2.0を使うか 部門より
1.3を使うか2.0を使うか 部門より
Anonymous Coward曰く、"Apache 1.3.27とApache 2.0.43がリリースされています。2.0.42以前のバージョンに発覚したXSS脆弱性その他に対処したもの。日本のミラーにも行き渡っているようです。"
Anonymous Coward曰く、"Apache 1.3.27とApache 2.0.43がリリースされています。2.0.42以前のバージョンに発覚したXSS脆弱性その他に対処したもの。日本のミラーにも行き渡っているようです。"
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
1.3.xのCAN-2002-0839について (スコア:3, 興味深い)
# 土日はほとんど誰も見てなさそうなので/.Jに依存…
表題のCAN-2002-0839 [apache.or.jp]にあるSystemV共有メモリベースのスコアボードを使用しているプラットフォームっていうのは具体的にどのOSなんでしょう?
いろいろ調べた結果、身近なところで
Linux: System V共有メモリベースのスコアボード
FreeBSD: MMAPベースのスコアボード
という感じがするのですが当たりでしょうか?
src/PORTINGとsrc/include/ap_config.hをヒントにこのような結論に至りました。
識者の方(apacheスコアボードの識者なんていないと思いますが)、間違ってたら是非指摘してください。
そのときはFreeBSDなサーバが多いので月曜の仕事量が激増します。(涙)
Re:1.3.xのCAN-2002-0839について (スコア:3, 参考になる)
httpd -V してって出たら該当しすてむです。FreeBSDはなんじゃないかしら。
$APACHESRC/src/PORTINGあたりを眺めてみるとよろしいかと。
Re:1.3.xのCAN-2002-0839について (スコア:1)
解釈どおりで問題ないということですね。
これで早急にアップデートする必要があるのはLinuxなwwwだけになりました。
(それはそれで鬱…)
# しかし、さすが/.Jは母数が大きいだけあって素早くコメントをいただけますね。
# コメントの質も話題次第だと思い知りました。
mod_sslも (スコア:2, 参考になる)
全員がアップデートする必要ある? (スコア:1, 興味深い)
#私は良く分からないのでAC
Re:全員がアップデートする必要ある? (スコア:2, 参考になる)
とりあえずChangeLog貼っておきます。
- ChangeLog for Apache 1.3.27 [apache.org]
- ChangeLog for Apache 2.0.43 [apache.org]
上記のChangeLog内の"SECURITY"という項目を拾うと、1.3.27に関するSecurity Fixは、CAN-2002-0839 [mitre.org](SYSV共有メモリに基づくスコアボードに問題)、CAN-2002-0840 [mitre.org](UseCanonicalNameがoffでかつDNSでワイルドカードを利用していると問題)、CAN-2002-0843 [mitre.org](ベンチマークツールabに問題)の3つです。2.0.43に関するSecurity Fixは、CAN-2002-0840 [mitre.org]と、"Allow POST requests and CGI scripts to work when DAV is enabled on the location."の2つです。CAN-2002-0839 [mitre.org]とCAN-2002-0843 [mitre.org]は2.0.43には該当しません。
てことで、全員がアップデートする必要はなく、アップデートする必要があるかどうかはApacheのバージョンによって違っています。
う~ん (スコア:0)
Version1,2両方ともというのが、さらに痛い。
Re:う~ん (スコア:1)
多いですよね。。。
sendmailみたいに、apacheもなんだかんだで肥大化しすぎちゃったんじゃないでしょうか?
これからもhttpが多用されるとは思いますが、私みたいに基本的な機能しか使わない人のためにdjbのような発想のhttpdが欲しいなぁ。(と言いたいことだけ言ってみる^^;;)
すでにありますよ。 (スコア:2, 興味深い)
私は使ったことないんですけど、
これを機にチャレンジしてみようかなぁ。
main(){printf("Hello World\n");}
Re:これさえ出来れば使いたいけど (スコア:0)
(それがでかいセキュリティーホールになるのは分かるんだけど)
Re:う~ん (スコア:0)
と、個人的に思ったり....。
Re:う~ん (スコア:0)
Apache がどうこうっていうよりも、
これは世の中の流れのせいなんじゃないかな。
パッケージ使ってできるだけ入れ替え作業を楽するしかないっす。。。
それでも政治層あたりの手続きが重いけど。
Apacheがこんだけボロボロだと (スコア:0)
一から再設計されたみたいだし、性能もアップしているらしいし。。。
なんつったって、Windows Updateの手軽さを一度体験しちゃうと、tarボールから入れるとかrpmでアップグレードとか、やんなっちゃう。
Re:Apacheがこんだけボロボロだと (スコア:1)
Re:Apacheがこんだけボロボロだと (スコア:0)
Windows update はウイザードに従って対話形式でクリックするだけでOKですが、apt-get後にマニュアルを読みながら設定しないといけないのならやっぱり Windows update の方がいいです。 高度な技術を持った技術者が不足しているの
Re:Apacheがこんだけボロボロだと (スコア:0)
Re:Apacheがこんだけボロボロだと (スコア:0)
えっ、マジで質問なんだけど、Windows Update ってそういうのも自動でアップデートしてくれんの?
さすがに conf ファイルとかはないんだろ
Re:Apacheがこんだけボロボロだと (スコア:0)
Re:Apacheがこんだけボロボロだと (スコア:0)
アップデートができなくなるWindowsUpdateは
根本的に問題があるかと。
実際、以前あったしね。数日間も。
その間に再インストールしたマシンは
どうしろというのだろう。
Re:Apacheがこんだけボロボロだと (スコア:0)
>どうしろというのだろう。
復旧を待ってからWindowsUpdateする。
Re:Apacheがこんだけボロボロだと (スコア:1, 興味深い)
きちんと管理できれば問題ないけど自動化できるのであれば自動化すべきであって、その点では Windows はものすごく優れていると思います。 失敗も多いけど色々新しい事に対して十分な金と人と物をかけて(根拠無いけどかけていると思う)挑戦し続けているので他の OS もこの辺を見習うべきだと思います。
これから管理していくものがどんどん巨大なものになっていくというか規模がでかくなっていくわけで、そうなるといかに楽して管理できるかという部分が重要になっていくんじゃないかと思います。 Tomcatもブラウザから設定できるようになるっぽいし、J2EE関連はGUI管理のがいっぱいあるし。 GUIマンセー。
Re:Apacheがこんだけボロボロだと (スコア:0)
インストール&アップデート方法や、設定方法を容易にするべきだという意見には賛成ですが、Windows Updateでインストール(アップデート)されるものに複数のパターンがあるわけではないのに、RPMでは
Re:Apacheがこんだけボロボロだと (スコア:0)
急時用にソース自身を展開しておく事.
何が変わったのかdiff取って中身を確認する事.
パッケージに頼らない事.
依存する物の動作関係を覚える事.
# さて、Windowsで何処まで上のが出来ましょうか
# 自らRPM等パッケージを作ったパターンが多い方だと
Re:Apacheがこんだけボロボロだと (スコア:0)
Re:Apacheがこんだけボロボロだと (スコア:1)
Linux以前の問題では?と、思っているのは私だけなのかも知れ
ませんが、その教育の為に教育を受けましたか?
# 私自身、逆に受けた記憶が全くないのです.
# 他のOSについても同様です.
# 自分の身に降り掛かった火の粉を払うが如く
# 全て覚える/やってみる
# と言うことをした事はありますが
会社の方にとある資格を取ったらどうかと言われた記憶もあ
りますが、全く拒否をしてしまいました.答えは複数あって
も最終的には同じ事を目的にしているのなら同じですと.
# 色んなパターンを考えて楽しむ癖つきましたが
# 教育だけでは身につかない事もやはりあります.
GUIにたよっていなかった世代のギャップでしょうか.
普通の考えで、次のアップデートまでシビレを切らして待ちますか?
# 自分で直すと言う感覚が結局ないまま破綻してしまうのです..
その過程で実は求められているスキルが確立されると思っていますが、間違いでしょうか?