FAMLog

Mod_python 3.1.4およびMod_python 2.7.11がリリースされています。これらのバージョンにはセキュリティ脆弱性の修正のみが含まれています。

Mod_pythonはApacheのモジュールであり、Apacheのサーバーサイド処理をPythonで記述できるようにするものです。Mod_python 3.1.4はApache 2.0のみに対応していて、Apache 1.3を利用している場合にはMod_python 2.7.11を使用することになります。

Mod_python 3.1.4および2.7.11では、Mod_pythonのPublisherハンドラが原因で細工されたURLにより非公開ファイルの漏洩を許してしまう脆弱性（CAN-2005-0088）が修正されています。Publisherハンドラを使用している場合には、なるべく早く新しいバージョンにアップデートする必要があります。

Apache HTTP Server 2.0.53がリリースされています。このバージョンにはApache 2.0系列における2点のセキュリティ脆弱性の修正が含まれています。

悪意あるユーザーが大量の空白文字が含まれたヘッダーを送信することでDoS攻撃を受けてしまう脆弱性（CAN-2004-0942）が、Apache 2.0.53で修正されています。このセキュリティ脆弱性はApache 2.0.52およびそれ以前のバージョンのApache 2.0に存在するものです。

もう1点は、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）が修正されています。この脆弱性はApache 2.0系列ではApache 2.0.35からApache 2.0.52までのmod_sslに存在したもので、Apache 1.3系列ではmod_ssl 2.8.20 for Apache 1.3.31ですでに修正されています。

「mod_security 1.8.6」がリリースされています。mod_security 1.8.6では、検知モードでのみ動作させたい場合に対応するように動作に変更が加えられています。

データの妥当性チェックがリクエストを最初に処理するときにのみ行われるようになり、さらにリクエストヘッダーにも妥当性チェックが行われるように拡張されています。これにより、すべてのリクエストデータに対して妥当性チェックが行われます。

ただし、現状ではいくつか制限もあり、検知モードで動作させるにあたって一部利用できないオプションがあります。バージョン1.9世代でこういった制限を緩めていく方針のようです。

その他、バージョン1.8.6では下記3点の不具合が修正されています。

・skipアクションが正しく動作しない不具合
・ファイルアップロード時にmod_securityが無限ループに陥る場合がある不具合
・Apache 2.0用mod_security 1.8.5で、メモリーバッファよりサイズが大きいファイルをアップロードすると承認過程がスキップされてしまう不具合

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「mod_security 1.8.5」が2004年10月26日（米国時間）にリリースされています。

mod_security 1.8.5は、mod_security 1.8.4で発見された問題点6点が修正された、バージョン1.8系列のメンテナンスリリースです。

mod_securityの日本語マニュアルがあることに最近気づきましたが、その内容もバージョン1.8.5向けのものに更新されています。

「Apache HTTP Server 1.3.33」がリリースされています。あわせて「mod_ssl 2.8.22 for Apache 1.3.33」もリリースされています。

Apache 1.3.33では、Apache 1.3.32までのmod_includeでバッファーオーバーフローが発生する可能性があるセキュリティ脆弱性が修正されています。また、Apache 1.3.32のmod_rewriteで発生していた不具合も修正されています。

OpenSSLも先月下旬に新バージョンがリリースされていて、「OpenSSL 0.9.7e」がリリースされています。

Apache HTTP Server 1.3.32がリリースされています。

Apache 1.3.32では、リモートサーバーからの不正な（負の）Content-Lengthヘッダーの応答の処理の問題（CAN-2004-0492）が修正されています。このセキュリティ脆弱性はApache 1.3.25から1.3.31までのmod_proxyに存在するものです。

あわせてmod_ssl 2.8.21 for Apache 1.3.32もリリースされています。

Apache 1.3.31用のモジュール「mod_ssl 2.8.20」がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

1点目は、OpenSSL 0.9.7を使用していて、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）です。この脆弱性はApache 2.0.35からApache 2.0.52までのmod_sslにも存在します。

2点目は、mod_sslのログレベルがtraceもしくはdebugの場合に、サーバーのクラッシュを引き起こすprintf関数の書式文字列に関わる脆弱性です。

なお、Apache HTTP Server 1.3.32が近日中にリリースされる見込みなので、Apache 1.3用のmod_sslは再度アップデートされると思われます。

Apache HTTP Server 2.0.52がリリースされています。Apache 2.0.51のみに存在したセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51にはSatisfyディレクティブの処理に欠陥があり（CAN-2004-0811）、アクセス制御機能が正常に機能せずに、アクセスを許可してしまう脆弱性がありました。この脆弱性はバージョン2.0.52で修正されています。

Apache HTTP Server 2.0.51がリリースされています。Apache 2.0.50および2.0.50以前のバージョンに存在した、Apache 2.0系列における5点のセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51では、IPv6形式のアドレスを含む細工が施されたリクエストによりApacheの子プロセスがクラッシュする問題、細工が施された.htaccessファイルによりバッファー・オーバーフローが引き起こされる問題が修正されています。その他、Apache 2.0のmod_sslおよびmod_dav_fsに存在した脆弱性も修正されています。

mod_sslでは、他のSSLサーバーのリバース・プロキシーとして利用している場合にプロセスが停止することがある問題、あるタイミングでSSLコネクションが破棄されると無限ループが発生してDoS攻撃が可能となる問題が修正されています。

mod_dav_fsでは、WebDAVを有効にしている場合に、ある決まった手順のLOCKメソッドのリクエストにより、Apacheの子プロセスがクラッシュする問題が修正されています。

TrackBack Pingサーバーを実現するApacheモジュール「mod_trackback v1.0.1」がリリースされています。

mod_trackback v1.0.1では、ストレージの変更、コンテンツ生成ルールの追加、TrackBack Pingの検証機能の追加など、簡単に機能追加できるプラグイン機構が新たに組み込まれています。

mod_trackbackのライセンスはGPLおよびコマーシャルライセンスの2種類で、それらの中から都合のよいライセンスを選んで利用することができます。