パスワードを忘れた? アカウント作成
Close
5419 story

Apache httpd 2.0.45リリース、DoS脆弱性を修正 6

ストーリー by Oliver
patchyなウェブサーバ 部門より

k3c 曰く、 "Apache httpd 2.0.45がリリースされている。2つのセキュリティホールが修正されているとのこと。1つは"a significant Denial of Service vulnerability"で、詳細は4月8日に公表するまでナイショとされている。なお、OS/2ではこのバージョンでも完全に修正されておらず、追加パッチの適用が必要(2.0.46で修正される)。
もう1つはCGIなどの子プロセスにファイルディスクリプタの一部を知られてしまうというもので、レンタルサーバなど、信頼できないCGIを実行させている可能性のあるサーバーにとっては深刻な問題となり得る。
2.0.45より前の全てのバージョンのユーザーにアップグレードが推奨されている。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache httpd 2.0.45リリース、DoS脆弱性を修正 More

  • 2.0.45より前の全て (スコア:2, 参考になる)

    by moci (11748) on 2003年04月03日 12時38分 (#292054) 日記
    2.0.45より前の全てのバージョンのユーザーにアップグレードが推奨されている。

    脆弱性のためにアップグレードを推奨されているのは2.0系だけってことはないでしょうか。とくに前者 [mitre.org]の場合は"Apache 2.0"と書かれているようですし。

    だとすると、後者が問題にならないケースであれば、1.3系でアップグレードが推奨されるのは、例によって機能的に優れているから、ってだけなんでしょうかね。

    • DoS脆弱性については、
      No more specific information is disclosed at this time, but all Apache 2.0 users are encouraged to upgrade now.
      と書かれていますので、そのとおりです。もう1つの脆弱性についてはバージョンの記述はありませんが、同時に1.3系列の新バージョンが出ていないようなので、たぶん同じでしょう。
      シェア
      親コメント

  • 脆弱性とはべっこだけど (スコア:0)

    by Anonymous Coward on 2003年04月03日 14時23分 (#292126)
    2.0系ってみんなつかってる?

    私はどっかでサービスに使ってみようって思っているんだけど
    なかなかタイミングが無くって踏み切れて無いんですよ。

    • mod_ssl標準添付なので喜び勇んで使ってますよん。

      1.3系用モジュールが利用できないのが最大の難点なので、それが必須のサーバについては2.0向けに移植が終わり次第移行させる予定。

    • mod_ssl標準添付だし、mod_deflateは、mod_gzipよりmともなので、
      重用してます

      mod_sslは、デフォルトで、libssl,libcryptがダインミックリンクなので、
      opensslのバグが出るたびに、アパッチごとコンパイルし直さなくてすむのでいい

  • Webサーバ部門とは直接関係ないですが (スコア:0)

    by Anonymous Coward on 2003年04月03日 23時15分 (#292367)
    windows向けのTomcat(Javaサーブレットコンテナ)
    とのコネクタのバイナリーがが未だに2.0.43向けしか置いてないのは
    何とかしてほしいなぁって思います。
    まぁ、VisualStudioがあれば自分でビルドできますけど...
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家