Apache httpd 2.0.45リリース、DoS脆弱性を修正 6
ストーリー by Oliver
patchyなウェブサーバ 部門より
patchyなウェブサーバ 部門より
k3c 曰く、 "Apache httpd 2.0.45がリリースされている。2つのセキュリティホールが修正されているとのこと。1つは"a significant Denial of Service vulnerability"で、詳細は4月8日に公表するまでナイショとされている。なお、OS/2ではこのバージョンでも完全に修正されておらず、追加パッチの適用が必要(2.0.46で修正される)。
もう1つはCGIなどの子プロセスにファイルディスクリプタの一部を知られてしまうというもので、レンタルサーバなど、信頼できないCGIを実行させている可能性のあるサーバーにとっては深刻な問題となり得る。
2.0.45より前の全てのバージョンのユーザーにアップグレードが推奨されている。"
2.0.45より前の全て (スコア:2, 参考になる)
脆弱性のためにアップグレードを推奨されているのは2.0系だけってことはないでしょうか。とくに前者 [mitre.org]の場合は"Apache 2.0"と書かれているようですし。
だとすると、後者が問題にならないケースであれば、1.3系でアップグレードが推奨されるのは、例によって機能的に優れているから、ってだけなんでしょうかね。
Re:2.0.45より前の全て (スコア:1)
脆弱性とはべっこだけど (スコア:0)
私はどっかでサービスに使ってみようって思っているんだけど
なかなかタイミングが無くって踏み切れて無いんですよ。
Re:脆弱性とはべっこだけど (スコア:0)
mod_ssl標準添付なので喜び勇んで使ってますよん。
1.3系用モジュールが利用できないのが最大の難点なので、それが必須のサーバについては2.0向けに移植が終わり次第移行させる予定。
Re:脆弱性とはべっこだけど (スコア:0)
重用してます
mod_sslは、デフォルトで、libssl,libcryptがダインミックリンクなので、
opensslのバグが出るたびに、アパッチごとコンパイルし直さなくてすむのでいい
Webサーバ部門とは直接関係ないですが (スコア:0)
とのコネクタのバイナリーがが未だに2.0.43向けしか置いてないのは
何とかしてほしいなぁって思います。
まぁ、VisualStudioがあれば自分でビルドできますけど...