FAMLog
ModSecurity 1.9
November 10, 2005
Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9」が2005年11月6日にリリースされています。
ModSecurity 1.9では、リアルタイムのAuditログ収集を行うために新しいAuditロギングサブシステムが追加され、Apache 2.0用のModSecurityではレスポンス内容をログに保存できるようになっています。
さらに、新しいアクションやディレクティブが追加され、GETおよびPOST以外のメソッドが全面的にサポートされるようになっています。ファイルアップロード時にClamAVとの連係機能をサポートしたり、chroot機能が改良されるなど、従来のバージョンと比較して数多くの点が改良されたものに仕上がっています。
Apache HTTP Server 2.1.9-beta
November 09, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.9-beta」がリリースされています。
Apache 2.1.9-betaでは、mod_dbd、mod_filterおよびmod_charset_liteの各モジュールのステータスがExperimentalではなくなり、正式に標準で付属するモジュールとして扱われるようになっています。
また、worker MPMにおけるメモリーリークが原因で、ある特定の状況下でサービス妨害攻撃が引き起こされるセキュリティ脆弱性(CVE-2005-2970)が修正されています。
(2006/01/03追記:リンク先のURLを一部変更しました。)
Apacheセキュリティ
October 21, 2005
株式会社オライリー・ジャパンからApacheベースのシステムをセキュリティで保護するために必要な情報をすべて盛り込んだ書籍「Apacheセキュリティ」が2005年10月17日に発売されています。定価は3,780円(税込)です。
この書籍は、ModSecurityの開発者であるIvan Risticが執筆した「Apache Security」の翻訳書であり、 Apacheセキュリティの原則、SSL、サービス妨害攻撃、サーバーの共有、アクセス制御など基礎的なことから、インフラストラクチャー、Webセキュリティの診断、Web侵入検知など高度なトピックまで、Apacheをセキュアに保つ方法を詳細な解説と豊富なサンプルで分かりやすく説明しています。
WebアプリケーションのセキュリティやModSecurityの使用方法、関連ツールについても記述および紹介されていて、システム管理者だけでなく、プログラマーやシステムアーキテクトなどWebセキュリティに関わるすべての人に必携の一冊となっています。
Apache HTTP Server 1.3.34
October 19, 2005
「Apache HTTP Server 1.3.34」がリリースされています。
Apache 1.3.34では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが追加されています。
また、Apache 1.3.34のリリースにあわせて「mod_ssl 2.8.25 for Apache 1.3.34」もリリースされています。
Apache HTTP Server 2.0.55
October 14, 2005
Apache HTTP Server 2.0.55がリリースされています。このバージョンには5点のセキュリティ脆弱性の修正が含まれています。
Apache 2.0.55では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)、PCRE正規表現ライブラリに存在する整数オーバーフローの脆弱性(CAN-2005-2491)、mod_sslの脆弱性2点(CAN-2005-2700、CAN-2005-1268)、byterangeフィルタが原因でサービス拒否攻撃につながる脆弱性(CAN-2005-2728)が修正されています。
また、OpenSSL 0.9.8に対応し、Mac OS X v10.4で発生する不具合など数多くの不具合が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブも新たに追加されています。
ModSecurity 1.9RC1
October 06, 2005
Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9RC1」がリリースされています。
ModSecurity 1.9RC1は、バージョン1.9系列正式版の最初の候補版であり、従来のバージョンと比較して数多くの点において改良が加えられたものとなっています。
ModSecurity 1.9の正式版は2005年10月31日頃にリリースされる予定になっているそうです。
Apache HTTP Server 2.1.8-beta
October 03, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.8-beta」がリリースされています。
Apache 2.1.8-betaでは新たにapachectlコマンドでgraceful-stopがサポートされています。既存のリクエストが終了するまで、もしくはGracefulShutdownTimeoutディレクティブで指定されている秒数が経過するまで、サーバーは終了処理を待機するようになります。
セキュリティ脆弱性の修正も行われており、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。
(関連)mod_ssl 2.8.24 for Apache 1.3.33
(2006/01/03追記:リンク先のURLを一部変更しました。)
Apache HTTP Server 2.1.7-beta
September 12, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.7-beta」がリリースされています。
Apache 2.1.7-betaでは、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが新たに追加され、mod_cacheに多くの修正が加えられています。また、2点のセキュリティ脆弱性が修正されています。
アルファ版からベータ版になったことで、次期メジャーバージョンのApache HTTP Server 2.2のリリースもそう遠くはないでしょう。
(2006/01/03追記:リンク先のURLを一部変更しました。)
mod_ssl 2.8.24 for Apache 1.3.33
September 05, 2005
Apache HTTP ServerにSSL機能を追加するモジュール「mod_ssl 2.8.24 for Apache 1.3.33」がリリースされています。
このバージョンにはセキュリティ脆弱性の修正が含まれていて、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。
Mac OS X v10.4で発生するApache 2.0.54の不具合回避策
August 24, 2005
Mac OS X v10.4でApache HTTP Server 2.0.54を動作させた場合に、Mac OS X v10.4とAPR(Apache Portable Runtime)に帰因する問題により、サイズの大きいファイルが正しくApacheからクライアントに送信されない不具合が発生します。
ソースコードを用いてApache 2.0.54をインストールする場合には、configure実行前に次のように入力して環境変数を設定することで不具合を回避できます。
export ac_cv_func_poll=no
なお、この問題はApache HTTP Server 1.3.33では発生しません。
(参考)Apache and Tiger(Musings)
(2005/10/17追記:この不具合はApache 2.0.55で修正されていました。)