FAMLog

FAMLog

mod_ssl 2.8.19 for Apache 1.3.31

July 20, 2004

Apache用のモジュールであるmod_ssl 2.8.19がリリースされています。

このバージョンではセキュリティ脆弱性の修正が含まれており、Apache 1.3用mod_sslのmod_proxyに接続する部分においてssl_log関数の書式文字列に関わる脆弱性が修正されています。

なお、この脆弱性はApache 2.0のmod_sslには存在しません。

Tag: Apache

mod_security 1.8.3

July 08, 2004

mod_security 1.8.3がリリースされています。mod_security 1.8.2で見つかっていた問題点が修正された、バージョン1.8系列のメンテナンスリリースです。

不正な形式のURLエンコーディングを正しくエラーとして扱わない場合がある問題、FreeBSDにおいてApacheの子プロセスが初期化されるたびにエラーログにwarningが表示される問題、およびログのエスケープ処理が古いバージョンのApache 2.0(例えばApache 2.0.40)で機能しない問題の3点が修正されています。

また、更新履歴によるとmod_security 1.8dev2でchroot機能におけるセキュリティ上の改善点が含まれているため、バージョン1.7.6およびそれ以前を利用している場合にはバージョン1.8以降にバージョンアップしておくとよいようです。

Tag: Apache

Apache HTTP Server 2.0.50

July 01, 2004

Apache HTTP Server 2.0.50がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

ヘッダーの解析処理に問題があるためにDoS攻撃を受けてしまう問題(CAN-2004-0493)、mod_sslを利用していて「SSLOptions +FakeBasicAuth」を指定していた場合に、クライアント証明書の所有者識別情報(Subject-DN)が6KBを越えているとバッファーオーバーフローが発生する問題(CAN-2004-0488)が修正されています。その他にも多くの不具合が修正されています。

Tag: Apache

mod_security 1.8.2

June 25, 2004

mod_security 1.8.2がリリースされています。mod_security 1.8で発見された問題点5点が修正された、バージョン1.8系列のメンテナンスリリースです。

現在のところmod_security 1.8.2には既知の不具合が1点判明しており、不正な形式のURLエンコーディングを正しくエラーとして扱わない場合があるため、回避策として「SecFilterCheckURLEncoding Off」という設定にすることが案内されています。

(2006/01/03追記:リンク先のページがなくなっていた箇所があったので、その部分についてはリンクを削除しました。)

Tag: Apache

Mac OS X専用mod_encoding

June 18, 2004

Mac OS XおよびMac OS X Serverにオリジナルのmod_encodingをインストールしても、ファイル名の一部(かなの濁点半濁点等)で文字化けが発生する問題が残ります。

この問題に対処する場合には、現状Mac OS X専用mod_encodingを利用する必要があります。

Mac OS X専用mod_encodingは「WebDAVシステム構築ガイド」の付属CDに収録されていますが、Apache 1.3用のモジュールのみでApache 2.0用のものはありません。

[関連]Mac OS X Server v10.4とmod_encoding(FAMLog)

(2006/06/01追記:関連リンクを追加しました。)

Tag: Apache

mod_encoding for Apache2 20040616版

June 17, 2004

mod_encoding for Apache2が改版され、WebDAV Resources JPのWebサイトからダウンロードできるようになっています。

更新内容はCOPYINGの内容が配布ファイルに含まれるようになり、ライセンスが明確になるようにした、とのことです。

mod_encoding for Apache2は、WebDAVで日本語ファイル名のファイルを扱うときに発生する文字化けを解消することを目的とした、Apache 2.0用のモジュールです。

Tag: Apache

mod_security 1.8

June 16, 2004

mod_security 1.8がリリースされています。

mod_securityはWebサーバーへの侵入の検知および防御を目的としたApacheのモジュールです。オープンソースのソフトウェアで、ライセンスは基本的にGPLですが、商用ライセンスも別途用意されているようです。

リクエストデータのフィルタリングやログ処理が可能で、設定次第で細かい処理ができるようになります。Apache 1.3および2.0に対応したモジュールがそれぞれ用意されています。

Tag: Apache

Apacheモジュール プログラミングガイド

June 02, 2004

WebエンジニアのためのApacheモジュール プログラミングガイド」は、Apache HTTP Serverの機能を拡張したり動作をカスタマイズできるソフトウェア部品である「Apacheモジュール」の開発方法を解説した書籍です。

オフィシャルサポートサイトではサンプルソースコードが配布されており、Apache 1.3と2.0のAPI対応表も掲載されています。

この本は昨年発売されたもので、Apache 2.0系の詳細については解説されていませんが、Apacheモジュールの開発だけでなくApache HTTP Serverの構造や動作を理解するのに役立つ一冊です。

Tag: Apache

mod_ssl 2.8.18 for Apache 1.3.31

May 31, 2004

Apache用のモジュールであるmod_ssl 2.8.18がリリースされています。

このバージョンではセキュリティ脆弱性の修正が含まれており、「SSLOptions +FakeBasicAuth」を指定していた場合に、クライアント証明書の所有者識別情報(Subject-DN)が6KBを越えているとバッファーオーバーフローが発生する問題がmod_ssl 2.8.17以前にあったそうです。

Apache 2.0.49にも同種の問題があるようで、Apache 2.0用には別途パッチが用意されています。

Tag: Apache

Apache HTTP Server 1.3.31リリース

May 13, 2004

Apache HTTP Server 1.3.31がリリースされています。バージョン1.3.30はリリースされていません。

Apache 1.3.31では、multiple listening socketsを使用する場合いくつかのプラットフォームでサービス拒否攻撃が可能な脆弱性(CAN-2004-0174)、error_logに書き込む前にエスケープ処理をしていない問題(CAN-2003-0020)、ビッグエンディアンかつ64bit環境で発生するmod_accessにおけるアクセス制限が正常に機能しない脆弱性(CAN-2003-0993)およびmod_digestにおける脆弱性(CAN-2003-0987)が修正されています。

あわせてmod_ssl 2.8.17 for Apache 1.3.31もリリースされています。

Tag: Apache

About This Blog

Information

Recent Slides

Recent Entries

Categories

Archives

Links

このページの上へ