FAMLog

広く利用されているWebサーバーソフトウェアであるApache HTTP Serverの最新版「Apache HTTP Server 2.2.0」がリリースされています。

Apache HTTP Server 2.2.0は、新しい安定版系列であるApache HTTP Server 2.2の最初のバージョンです。バージョン2.0以降はLinux Kernelと同様に、バージョン番号の小数点第1位が奇数の場合は開発バージョン、偶数の場合は安定バージョンとするように番号が割り振られていて、Apache 2.2はこれまでバージョン2.1として開発されていました。

今回のメジャーバージョンアップでは、最近の32bit OSにおいて2GB以上のファイルがサポートされ、スマートフィルタリング機能やmod_proxyにロードバランス機能を追加するmod_proxy_balancer、Tomcatとの接続に使用できるmod_proxy_ajp、graceful-stop機能、Event MPMなどの機能が追加され、認証やキャッシュ関連のモジュールが改良されるなど、数多くの機能が拡張・改善されています。

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9」が2005年11月6日にリリースされています。

ModSecurity 1.9では、リアルタイムのAuditログ収集を行うために新しいAuditロギングサブシステムが追加され、Apache 2.0用のModSecurityではレスポンス内容をログに保存できるようになっています。

さらに、新しいアクションやディレクティブが追加され、GETおよびPOST以外のメソッドが全面的にサポートされるようになっています。ファイルアップロード時にClamAVとの連係機能をサポートしたり、chroot機能が改良されるなど、従来のバージョンと比較して数多くの点が改良されたものに仕上がっています。

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.9-beta」がリリースされています。

Apache 2.1.9-betaでは、mod_dbd、mod_filterおよびmod_charset_liteの各モジュールのステータスがExperimentalではなくなり、正式に標準で付属するモジュールとして扱われるようになっています。

また、worker MPMにおけるメモリーリークが原因で、ある特定の状況下でサービス妨害攻撃が引き起こされるセキュリティ脆弱性（CVE-2005-2970）が修正されています。

（2006/01/03追記：リンク先のURLを一部変更しました。）

株式会社オライリー・ジャパンからApacheベースのシステムをセキュリティで保護するために必要な情報をすべて盛り込んだ書籍「Apacheセキュリティ」が2005年10月17日に発売されています。定価は3,780円（税込）です。

この書籍は、ModSecurityの開発者であるIvan Risticが執筆した「Apache Security」の翻訳書であり、 Apacheセキュリティの原則、SSL、サービス妨害攻撃、サーバーの共有、アクセス制御など基礎的なことから、インフラストラクチャー、Webセキュリティの診断、Web侵入検知など高度なトピックまで、Apacheをセキュアに保つ方法を詳細な解説と豊富なサンプルで分かりやすく説明しています。

WebアプリケーションのセキュリティやModSecurityの使用方法、関連ツールについても記述および紹介されていて、システム管理者だけでなく、プログラマーやシステムアーキテクトなどWebセキュリティに関わるすべての人に必携の一冊となっています。

「Apache HTTP Server 1.3.34」がリリースされています。

Apache 1.3.34では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性（CAN-2005-2088）が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが追加されています。

また、Apache 1.3.34のリリースにあわせて「mod_ssl 2.8.25 for Apache 1.3.34」もリリースされています。

Apache HTTP Server 2.0.55がリリースされています。このバージョンには5点のセキュリティ脆弱性の修正が含まれています。

Apache 2.0.55では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性（CAN-2005-2088）、PCRE正規表現ライブラリに存在する整数オーバーフローの脆弱性（CAN-2005-2491）、mod_sslの脆弱性2点（CAN-2005-2700、CAN-2005-1268）、byterangeフィルタが原因でサービス拒否攻撃につながる脆弱性（CAN-2005-2728）が修正されています。

また、OpenSSL 0.9.8に対応し、Mac OS X v10.4で発生する不具合など数多くの不具合が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブも新たに追加されています。

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9RC1」がリリースされています。

ModSecurity 1.9RC1は、バージョン1.9系列正式版の最初の候補版であり、従来のバージョンと比較して数多くの点において改良が加えられたものとなっています。

ModSecurity 1.9の正式版は2005年10月31日頃にリリースされる予定になっているそうです。

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.8-beta」がリリースされています。

Apache 2.1.8-betaでは新たにapachectlコマンドでgraceful-stopがサポートされています。既存のリクエストが終了するまで、もしくはGracefulShutdownTimeoutディレクティブで指定されている秒数が経過するまで、サーバーは終了処理を待機するようになります。

セキュリティ脆弱性の修正も行われており、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題（CAN-2005-2700）が修正されています。

（関連）mod_ssl 2.8.24 for Apache 1.3.33

（2006/01/03追記：リンク先のURLを一部変更しました。）

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.7-beta」がリリースされています。

Apache 2.1.7-betaでは、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが新たに追加され、mod_cacheに多くの修正が加えられています。また、2点のセキュリティ脆弱性が修正されています。

アルファ版からベータ版になったことで、次期メジャーバージョンのApache HTTP Server 2.2のリリースもそう遠くはないでしょう。

（2006/01/03追記：リンク先のURLを一部変更しました。）

Apache HTTP ServerにSSL機能を追加するモジュール「mod_ssl 2.8.24 for Apache 1.3.33」がリリースされています。

このバージョンにはセキュリティ脆弱性の修正が含まれていて、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題（CAN-2005-2700）が修正されています。