FAMLog
ModSecurity 1.9
November 10, 2005
Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9」が2005年11月6日にリリースされています。
ModSecurity 1.9では、リアルタイムのAuditログ収集を行うために新しいAuditロギングサブシステムが追加され、Apache 2.0用のModSecurityではレスポンス内容をログに保存できるようになっています。
さらに、新しいアクションやディレクティブが追加され、GETおよびPOST以外のメソッドが全面的にサポートされるようになっています。ファイルアップロード時にClamAVとの連係機能をサポートしたり、chroot機能が改良されるなど、従来のバージョンと比較して数多くの点が改良されたものに仕上がっています。
Apache HTTP Server 2.1.9-beta
November 09, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.9-beta」がリリースされています。
Apache 2.1.9-betaでは、mod_dbd、mod_filterおよびmod_charset_liteの各モジュールのステータスがExperimentalではなくなり、正式に標準で付属するモジュールとして扱われるようになっています。
また、worker MPMにおけるメモリーリークが原因で、ある特定の状況下でサービス妨害攻撃が引き起こされるセキュリティ脆弱性(CVE-2005-2970)が修正されています。
(2006/01/03追記:リンク先のURLを一部変更しました。)
Apacheセキュリティ
October 21, 2005
株式会社オライリー・ジャパンからApacheベースのシステムをセキュリティで保護するために必要な情報をすべて盛り込んだ書籍「Apacheセキュリティ」が2005年10月17日に発売されています。定価は3,780円(税込)です。
この書籍は、ModSecurityの開発者であるIvan Risticが執筆した「Apache Security」の翻訳書であり、 Apacheセキュリティの原則、SSL、サービス妨害攻撃、サーバーの共有、アクセス制御など基礎的なことから、インフラストラクチャー、Webセキュリティの診断、Web侵入検知など高度なトピックまで、Apacheをセキュアに保つ方法を詳細な解説と豊富なサンプルで分かりやすく説明しています。
WebアプリケーションのセキュリティやModSecurityの使用方法、関連ツールについても記述および紹介されていて、システム管理者だけでなく、プログラマーやシステムアーキテクトなどWebセキュリティに関わるすべての人に必携の一冊となっています。
Apache HTTP Server 1.3.34
October 19, 2005
「Apache HTTP Server 1.3.34」がリリースされています。
Apache 1.3.34では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが追加されています。
また、Apache 1.3.34のリリースにあわせて「mod_ssl 2.8.25 for Apache 1.3.34」もリリースされています。
Apache HTTP Server 2.0.55
October 14, 2005
Apache HTTP Server 2.0.55がリリースされています。このバージョンには5点のセキュリティ脆弱性の修正が含まれています。
Apache 2.0.55では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)、PCRE正規表現ライブラリに存在する整数オーバーフローの脆弱性(CAN-2005-2491)、mod_sslの脆弱性2点(CAN-2005-2700、CAN-2005-1268)、byterangeフィルタが原因でサービス拒否攻撃につながる脆弱性(CAN-2005-2728)が修正されています。
また、OpenSSL 0.9.8に対応し、Mac OS X v10.4で発生する不具合など数多くの不具合が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブも新たに追加されています。
ModSecurity 1.9RC1
October 06, 2005
Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9RC1」がリリースされています。
ModSecurity 1.9RC1は、バージョン1.9系列正式版の最初の候補版であり、従来のバージョンと比較して数多くの点において改良が加えられたものとなっています。
ModSecurity 1.9の正式版は2005年10月31日頃にリリースされる予定になっているそうです。
Apache HTTP Server 2.1.8-beta
October 03, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.8-beta」がリリースされています。
Apache 2.1.8-betaでは新たにapachectlコマンドでgraceful-stopがサポートされています。既存のリクエストが終了するまで、もしくはGracefulShutdownTimeoutディレクティブで指定されている秒数が経過するまで、サーバーは終了処理を待機するようになります。
セキュリティ脆弱性の修正も行われており、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。
(関連)mod_ssl 2.8.24 for Apache 1.3.33
(2006/01/03追記:リンク先のURLを一部変更しました。)
Apache HTTP Server 2.1.7-beta
September 12, 2005
Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.7-beta」がリリースされています。
Apache 2.1.7-betaでは、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが新たに追加され、mod_cacheに多くの修正が加えられています。また、2点のセキュリティ脆弱性が修正されています。
アルファ版からベータ版になったことで、次期メジャーバージョンのApache HTTP Server 2.2のリリースもそう遠くはないでしょう。
(2006/01/03追記:リンク先のURLを一部変更しました。)
mod_ssl 2.8.24 for Apache 1.3.33
September 05, 2005
Apache HTTP ServerにSSL機能を追加するモジュール「mod_ssl 2.8.24 for Apache 1.3.33」がリリースされています。
このバージョンにはセキュリティ脆弱性の修正が含まれていて、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。
Mac OS X v10.4で発生するApache 2.0.54の不具合回避策
August 24, 2005
Mac OS X v10.4でApache HTTP Server 2.0.54を動作させた場合に、Mac OS X v10.4とAPR(Apache Portable Runtime)に帰因する問題により、サイズの大きいファイルが正しくApacheからクライアントに送信されない不具合が発生します。
ソースコードを用いてApache 2.0.54をインストールする場合には、configure実行前に次のように入力して環境変数を設定することで不具合を回避できます。
export ac_cv_func_poll=no
なお、この問題はApache HTTP Server 1.3.33では発生しません。
(参考)Apache and Tiger(Musings)
(2005/10/17追記:この不具合はApache 2.0.55で修正されていました。)
About This Blog
- FileMakerとApache、Mac、Linuxに関するメモ。主にmacOS版およびLinux版のClaris FileMaker ServerによるWeb公開やClaris FileMaker Cloudに関連する情報を少しずつ記録しています。
- 松尾 篤(Atsushi Matsuo)
-
- FAMLogで公開されているブログ記事のライセンスはCreative Commons 表示 4.0 国際 (CC BY 4.0) です。
Information
Recent Slides
- INTER-Mediatorに関するOSS活動で得た知見と感想(2023年12月「第159回 PHP勉強会@東京」ライトニングトーク発表資料)
- Claris FileMaker Admin API の使い方と最新情報(2023年11月「Claris Engage Japan 2023」講演資料)
- PHPからClaris FileMaker Serverに接続するには(2023年9月「第156回 PHP勉強会@東京」ライトニングトーク発表資料)
- Claris FileMaker Server で多要素認証を導入するには(2022年10月「Claris Engage Japan 2022」講演資料)
- 社内システムから Claris FileMaker Cloud に接続する際に知っておきたいポイント(2022年10月「Claris Engage Japan 2022」講演資料)
- Claris FileMaker Serverの監視にPrometheusを活用する(2022年4月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- FMPress Formsの紹介とバージョン1.0.2の変更点(2022年3月「FileMakerユーザーズグループ中部」発表資料)
- FMPress Formsの紹介(2021年12月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- Claris FileMaker Server for Linux 入門(2021年11月「Claris Engage Japan 2021」講演資料)
- fmcsadmin 1.3.0の新機能(2021年8月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- INTER-Mediator 5.12とClaris FileMaker Server(2021年6月「INTER-Mediator勉強会2021-06」発表資料)
- kintoneのデータをオフライン環境でも活用できるClaris FileMaker(2021年4月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- オフライン環境でもkintoneのデータを活用する方法(2021年3月「kintone Café 神奈川 Vol.7」発表資料)
- fmcsadmin 1.2.0の新機能(2021年2月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- Claris FileMaker Server 19.2で拡張されたFileMaker Admin API(2020年12月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- Claris FileMaker Server 管理者が知っておきたい Infrastructure as Code(2020年11月、12月「Claris Engage Japan 2020」講演資料)
- FileMaker Server for LinuxでAD FSによる外部認証(2020年11月「FileMaker UG 全国合同オンラインミーティング 2020」ライトニングトーク発表資料)
- fmcsadmin 1.1.0(2020年8月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- Claris FileMaker Server 19の新機能と改善点(2020年6月「INTER-Mediator勉強会2020-6」発表資料)
- macOS版VirtualBoxにCentOS Linux 7をインストール(2020年6月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker Server 18とJava(2020年5月「FileMakerユーザーズグループ北陸」発表資料)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2020年版)(2020年4月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- fmcsadmin 1.0.0(2019年10月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- INTER-Mediatorが備えるセキュリティ機能(2019年8月「INTER-Mediator《大》勉強会 2019」発表資料)
- XMLPasteの紹介(2019年4月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- fmcsadminの使い方(2018年12月「FM関西ユーザーズグループ」発表資料)
- FileMaker Admin API の使い方と活用方法(2018年11月「FileMaker カンファレンス 2018」講演資料)
- FileMaker Server 17とINTER-MediatorによるWebアプリ開発(2018年11月「INTER-Mediator Meet-up 2018」発表資料)
- INTER-Mediator 5.8とFileMaker Data API(2018年9月「INTER-Mediator勉強会2018-#6」発表資料)
- fmcsadmin 0.9.2(2018年8月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker Server 17でカスタムWeb公開を有効化(2018年6月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- Selenium WebDriverを利用したサンプルアプリケーションのテスト(2018年3月「INTER-Mediator勉強会2018-#2」発表資料)
- INTER-Mediator 5.7とFileMaker Data API (Trial)(2018年2月「INTER-Mediator勉強会2018-#1」発表資料)
- fmcsadmin CLI for FileMaker Admin API (Trial)(2017年12月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- INTER-Mediator開発における継続的インテグレーション(2017年10月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- FileMaker Server 16とHSTS(2017年6月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker Server管理者のためのServerspec入門(2017年版)(2017年5月「Frontiers' Conference 2017」発表資料)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2016年11月「FileMaker カンファレンス 2016」講演資料)
- FileMaker ServerでLet's Encrypt(2016年8月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- FileMaker Server CWP & Security Basic(2016年8月「INTER-Mediator《大》勉強会 2016」発表資料)
- Qualys SSL Labs SSL Server Test(2016年1月「INTER-Mediator勉強会2016-#1」発表資料)
- FileMaker Server 14.0.4 Security Updates(2015年12月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- SSL暗号化通信を利用したネットワークセキュリティの向上(2015年11月「FileMaker カンファレンス 2015」講演資料)
- FileMaker WebDirect ソリューション開発におけるテストフレームワークの活用(2015年11月「FileMaker カンファレンス 2015」講演資料)
- Exifの画像方向情報(2015年10月「INTER-Mediator勉強会2015-#6」発表資料)
- FileMaker Pro 14.0.3とワイルドカードSSLサーバー証明書(2015年10月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker 12 セキュリティ更新に関する考察(2015年6月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker 13.0v9の修正点に関する考察(2015年4月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- FileMaker Pro 13.0v4のロックアイコンについて(2014年11月「FileMaker UG 全国合同オフラインミーティング 2014」ライトニングトーク発表資料)
- iPad & iPhoneからのリモートアクセスをより安全にするネットワーク構築術(2014年11月「FileMaker カンファレンス 2014」講演資料)
- FileMaker Serverのバックアップ機能の徹底活用法(2014年11月「FileMaker カンファレンス 2014」講演資料)
- リモートアクセスVPNサーバー構築入門(2013年11月「FileMaker カンファレンス 2013」講演資料)
- CookieのSecure属性とHttpOnly属性(2013年8月「カスタムWeb勉強会」ライトニングトーク発表資料)
- FileMaker Server管理者のためのserverspec入門(2013年6月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- Get ( 持続 ID ) 関数の罠(2012年12月「FileMaker UG 全国合同オフラインミーティング 2012」ライトニングトーク発表資料)
- Mac版FileMaker Serverで使えるコマンドライン活用レシピ(2011年2月「FileMaker Pro 東京ユーザーズミーティング」発表資料)
- テスティングフレームワークとサーバー運用(2010年10月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
- 「安全なウェブサイトの作り方」を読もう(2008年12月「FileMaker Pro 東京ユーザーズミーティング」ライトニングトーク発表資料)
Recent Entries
- FAMLog Software Update News 2024-07 (2)
- 2024年7月「Go Connect #1」発表資料
- FAMLog Software Update News 2024-07 (1)
- OpenSSL 3.3系列のサポート終了予定日
- FAMLog Software Update News 2024-06 (3)
