FAMLog


mod_security 1.8.6

November 09, 2004

mod_security 1.8.6」がリリースされています。mod_security 1.8.6では、検知モードでのみ動作させたい場合に対応するように動作に変更が加えられています。

データの妥当性チェックがリクエストを最初に処理するときにのみ行われるようになり、さらにリクエストヘッダーにも妥当性チェックが行われるように拡張されています。これにより、すべてのリクエストデータに対して妥当性チェックが行われます。

ただし、現状ではいくつか制限もあり、検知モードで動作させるにあたって一部利用できないオプションがあります。バージョン1.9世代でこういった制限を緩めていく方針のようです。

その他、バージョン1.8.6では下記3点の不具合が修正されています。

・skipアクションが正しく動作しない不具合
・ファイルアップロード時にmod_securityが無限ループに陥る場合がある不具合
・Apache 2.0用mod_security 1.8.5で、メモリーバッファよりサイズが大きいファイルをアップロードすると承認過程がスキップされてしまう不具合

Tag: Apache

mod_security 1.8.5

November 04, 2004

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「mod_security 1.8.5」が2004年10月26日(米国時間)にリリースされています。

mod_security 1.8.5は、mod_security 1.8.4で発見された問題点6点が修正された、バージョン1.8系列のメンテナンスリリースです。

mod_securityの日本語マニュアルがあることに最近気づきましたが、その内容もバージョン1.8.5向けのものに更新されています。

Tag: Apache

Apache HTTP Server 1.3.33

November 02, 2004

Apache HTTP Server 1.3.33」がリリースされています。あわせて「mod_ssl 2.8.22 for Apache 1.3.33」もリリースされています。

Apache 1.3.33では、Apache 1.3.32までのmod_includeでバッファーオーバーフローが発生する可能性があるセキュリティ脆弱性が修正されています。また、Apache 1.3.32のmod_rewriteで発生していた不具合も修正されています。

OpenSSLも先月下旬に新バージョンがリリースされていて、「OpenSSL 0.9.7e」がリリースされています。

Tag: Apache

Apache HTTP Server 1.3.32

October 25, 2004

Apache HTTP Server 1.3.32がリリースされています。

Apache 1.3.32では、リモートサーバーからの不正な(負の)Content-Lengthヘッダーの応答の処理の問題(CAN-2004-0492)が修正されています。このセキュリティ脆弱性はApache 1.3.25から1.3.31までのmod_proxyに存在するものです。

あわせてmod_ssl 2.8.21 for Apache 1.3.32もリリースされています。

Tag: Apache

mod_ssl 2.8.20 for Apache 1.3.31

October 19, 2004

Apache 1.3.31用のモジュール「mod_ssl 2.8.20」がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

1点目は、OpenSSL 0.9.7を使用していて、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性(CAN-2004-0885)です。この脆弱性はApache 2.0.35からApache 2.0.52までのmod_sslにも存在します。

2点目は、mod_sslのログレベルがtraceもしくはdebugの場合に、サーバーのクラッシュを引き起こすprintf関数の書式文字列に関わる脆弱性です。

なお、Apache HTTP Server 1.3.32が近日中にリリースされる見込みなので、Apache 1.3用のmod_sslは再度アップデートされると思われます。

Tag: Apache

Apache HTTP Server 2.0.52

September 30, 2004

Apache HTTP Server 2.0.52がリリースされています。Apache 2.0.51のみに存在したセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51にはSatisfyディレクティブの処理に欠陥があり(CAN-2004-0811)、アクセス制御機能が正常に機能せずに、アクセスを許可してしまう脆弱性がありました。この脆弱性はバージョン2.0.52で修正されています。

Tag: Apache

Apache HTTP Server 2.0.51

September 17, 2004

Apache HTTP Server 2.0.51がリリースされています。Apache 2.0.50および2.0.50以前のバージョンに存在した、Apache 2.0系列における5点のセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51では、IPv6形式のアドレスを含む細工が施されたリクエストによりApacheの子プロセスがクラッシュする問題、細工が施された.htaccessファイルによりバッファー・オーバーフローが引き起こされる問題が修正されています。その他、Apache 2.0のmod_sslおよびmod_dav_fsに存在した脆弱性も修正されています。

mod_sslでは、他のSSLサーバーのリバース・プロキシーとして利用している場合にプロセスが停止することがある問題、あるタイミングでSSLコネクションが破棄されると無限ループが発生してDoS攻撃が可能となる問題が修正されています。

mod_dav_fsでは、WebDAVを有効にしている場合に、ある決まった手順のLOCKメソッドのリクエストにより、Apacheの子プロセスがクラッシュする問題が修正されています。

Tag: Apache

mod_trackback v1.0.1

September 15, 2004

TrackBack Pingサーバーを実現するApacheモジュール「mod_trackback v1.0.1」がリリースされています。

mod_trackback v1.0.1では、ストレージの変更、コンテンツ生成ルールの追加、TrackBack Pingの検証機能の追加など、簡単に機能追加できるプラグイン機構が新たに組み込まれています。

mod_trackbackのライセンスはGPLおよびコマーシャルライセンスの2種類で、それらの中から都合のよいライセンスを選んで利用することができます。

Tag: Apache

mod_trackback 0.1.6

August 30, 2004

TrackBack Pingサーバーを実現するApacheモジュール「mod_trackback」(バージョン0.1.6)がMODULE.JPで配布されています。

mod_trackbackは、WeblogではないがTrackBackを受け付けたいWebサイトの管理者向けのApache 1.3用モジュールで、TrackBack PingサーバーとしてTrackBack Pingを受け付ける機能と、蓄積してあるTrackBackの情報をHTML・RSS・JavaScriptに整形して配信する機能を持つ、とのことです。なお、TrackBack Pingを送信する機能は含まれていません。

mod_trackbackのライセンスは、GPLおよびコマーシャルライセンスの2種類となっています。

Tag: Apache

mod_security 1.8.4

July 30, 2004

mod_security 1.8.4がリリースされています。mod_security 1.8.3で発見された問題点が修正された、バージョン1.8系列のメンテナンスリリースです。

設定ファイルにおいてSecFilterDefaultActionディレクティブの設定ミスがあるとmod_securityがWebサーバーをクラッシュさせる不具合が修正され、内部リダイレクトやサブリクエストで入力フィルタの内容がApache 2.0で失われてしまう問題に対処されるなど、4点の問題点が修正されています。

Tag: Apache

このページの上へ