Apache Struts 2の脆弱性「CVE-2017-5638」、遠隔で任意コード実行が可能に |
Apache Struts は、オープンソースのフレームワークで、Java の Webアプリケーションを構築するために用いられます。過去に Apache Struts で確認された「リモートでコードが実行される脆弱性(Remote Code Execution、RCE)」をトレンドマイクロが調査したところ、ほとんどで「Object Graph Navigation Language(OGNL)」のプログラミング式が利用されていました。Apache Struts のプロセスの多くが OGNLを利用しているため、これを利用することで遠隔でのコード実行が容易になります。 OGNLを利用しリモートでコードが実行される脆弱性が Apache Struts 2 に新たに確認されました。この脆弱性には「CVE-2017-5638」として CVE識別番号が割り当てられています。この脆弱性を利用した攻撃は既
OSX 10.10 YosemiteでWeb共有を有効にする - ザリガニが見ていた...。
OSX 10.8以降、システム環境設定からWeb共有のGUI設定がなくなってしまった。しかし、なくなったのはGUI設定だけで、apache2の設定ファイルを修正すれば、以前同様Web共有が使える。そこで、簡単にWeb共有を開始できるように、以前の日記でAppleScriptにまとめておいた。 OSX 10.8でWeb共有を有効にする - ザリガニが見ていた...。 ところが、時は流れてOSX 10.10 Yosemiteでは、上記AppleScriptではWeb共有が使えなくなっていた...。 apacheのバージョン 調べてみると、OSX 10.10 Yosemiteから、apacheのバージョンが2.4に変更されていた。(以前はバージョン2.2だった) OSX 10.9 Mavericksまで $ apachectl -v Server version: Apache/2.2.26 (
How to enable Web Sharing in OS X Mountain Lion
The Sharing services in OS X allow for a number of connectivity options, including screen sharing, file sharing, printer sharing, and the capability to use your computer as an Internet router. In past versions of OS X, Apple has also included a full Web sharing service using the open-source Apache server that allows you to host Web pages on your computer, but this option has been removed from the
備忘録 - Mountain Lion を最低限文化的にしつけるためにやったこと : 404 Blog Not Found
2012年07月26日09:45 カテゴリTips 備忘録 - Mountain Lion を最低限文化的にしつけるためにやったこと つつがなくリリースされました。 感想は 404 Blog Not Found:iOS多くして獅子山昇る - 品評 - OS X Mountain Lion Preview Release とほぼ変わらず。その後 Dictation とかが追加されましたが、これで「iOSには出来るのにOS Xには出来ない」ことが大部分解消されていい感じです。 とはいえ、「今まで動いていたものが動かなくなる」ことは、OSのアップグレードにはつきもの。本entryは、それを再び動くようにするための備忘録です。 (追記あり) InstallESD.dmg の保全 App Storeからインストーラーをダウンロードしたらインストーラーが起動しますが、インストールボタンを押す前に In
ab - Apache HTTP server benchmarking tool - Apache HTTP Server
Please note This document refers to the 2.0 version of Apache httpd, which is no longer maintained. Upgrade, and refer to the current version of httpd instead, documented at: Current release version of Apache HTTP Server documentationYou may follow this link to go to the current version of this document. ab is a tool for benchmarking your Apache Hypertext Transfer Protocol (HTTP) server. It is des
Apacheやlighttpdへのアクセス状況をリアルタイムで確認できる「ApacheTop」を使ってみた - 元RX-7乗りの適当な日々
ApacheなどのWebサーバを運用していると、たまにリアルタイムで今現在の利用状況や負荷などがどうなっているかを確認したくなるときがあります。 そこで、UNIX/Linuxの"top"ライクに、Apacheの使用状況を確認することができるのが「ApacheTop」と呼ばれるツールです。 インストール インストールはパッケージ管理されているものを使うので簡単です。 $ sudo apt-get install apachetopUbuntuやDebianなど、APTを使っているなら↑のような感じ。 $ sudo yum install apachetopFedoraなど、YUMを使っているなら↑のような感じです。 早速使ってみる 使い方は、"-f"オプションでApacheのログファイルを指定して使います。 $ apachetop -f /var/log/apache2/access_log
Overview — Phusion Passenger™ (a.k.a. mod_rails / mod_rack)
Supercharge Your Web App Passenger has a myriad of features that are invaluable to today’s web apps and microservice APIs. You get these benefits (and more) by simply installing Passenger with Nginx or Apache. Learn how. Optimization Passenger was built with high performance and efficiency in mind. With Passenger’s zero-copy architecture, turbocaching and support for multiple concurrency models, y
mod_chxj プロジェクト日本語トップページ - OSDN
国内の主要携帯(3キャリア)向けコンテンツ変換ミドルウェアをApache2.x用のモジュールとして作成します。CHTMLや通常のHTMLで作成したコンテンツを出力時にUserAgentを見てそれぞれの端末用に変換します(画像はJPG、GIF、PNGからJPG、GIF、PNG、BMPへ)。QRコード生成機能付。 使い方などについては プロジェクトWiki を参照ください。 ダウンロード 最新リリース 0.12.x-source 0.12.42 (日付: 2013-02-12) 0.12.x-centos-5 0.12.41 (日付: 2011-07-05) 0.12.x-debian-squeeze 0.12.41 (日付: 2011-07-05) 0.12.x-source 0.12.41 (日付: 2011-07-05) 0.13.x-centos-5.5 0.13.4 (日付: 201
Visitors - fast web log analyzer
Visitors は Linux、Windows およびその他の Unix ライクな OS で動くとても軽快なウェブログ解析ツールです。 ウェブサーバログファイルを入力すると、統計をいろいろな形のレポートとして出力します。 その設計方針は同じタイプの他のソフトウェアと比較するとかなり異なっています: インストールは必要ありません。高速なコンピュータでは毎秒最大150,000行のログエントリ(作者自身のログファイルの平均では毎秒20MB)を処理します。 コマンドラインで実行するように設計されており、html とテキストでレポートを出力します。 テキストのレポートを less にパイプすることで ssh を通じてウェブ統計をチェックすることができます。 バージョン 0.3 で導入された Visitors ストリームモードによってリアルタイム統計をサポートしています。 ログの書式を指定する必要は
韓国からの異常なアクセスを拒否する方法
先ほどまでどういうわけか土曜日の夜だというのにGIGAZINEの負荷がドンドン上昇し、アラートを発し始めたので何事かと思ったら、大量のトラックバックスパム送信用ボットと思われるものが謎のIPアドレスを吐き出しながら入れ代わり立ち代わりやってきていました。 124.49.135.22 211.54.82.32 218.154.73.173 220.126.200.207 222.112.92.226 58.79.100.115 なぜかホスト名解決できないので、http://whois.ansi.co.jp/に入れてみたところ、すべてカントリーコード「kr」、つまり韓国からのアクセスでした。 ランダムなアドレスを吐き出しまくりながら、容赦なくトラックバックスパムを連続送信しまくってくれるので、とりあえず上記アドレス範疇は全部ブラックリストに入れて弾いたのですが、いつ何時IPアドレスを変更してや
Virtual Host
バーチャルホストを動作させると1つのサーバを複数の異なるホスト名でアクセスすることが可能になる。それぞれのホスト毎に異なるドキュメントルートを設定できるので、それぞれのホストは異なる内容を表示する。すなわち、1台のパソコンがあたかも複数の異なるサーバであるかのように動作するのである。サーバにアクセスするユーザには特に御利益はないが、Webサーバ運用者にとってはシステム構築コストもシステム管理コストも1台分で済むので、大変魅力的な仕組みであると言える。 インターネットサービスプロバイダはホスティングサービスなどでバーチャルホストを利用している。会社や大学などの組織でも複数の部署のサーバを1台で賄えるなど運用コスト削減に効果を発揮するであろう。近年、ダイナミックDNSサービスが急速に普及し、ホスト名が容易に取得可能になったことも後押しして、今後個人の自宅サーバでもバーチャルホストが広まるこ
GIGAZINE - GIGAZINEのLoadAvarageを「27」から「2」へ下げた方法
ここ3日間ぐらい超絶な重さだったのはサーバに物理的トラブルが発生したからではなく、単純に閲覧者数が満員御礼となり、各時間で倍増したためです。LoadAverageはひどいときで15分間の平均値「27.1」程度。瞬間最大風速だともっと高いです……明らかにまずい。 というわけで、Apacheのデフォルト設定で今までは大丈夫だったのですが、ついに高負荷サイト用の設定に変更せざるを得なくなりました。 そのため、実際に行った対処方法は以下の通り。1日30万PV近い動的サイトの高負荷を緩和させる方法として参考になれば幸いです。 まず大前提として、既にDNS逆引きや.htaccessの余計な読み込みなどは停止させていました。下記ページに書いてあることは実行済み。 @IT:Apacheパフォーマンス・チューニングの実践(1/2) この状態で負荷が15分平均で「27」になっていたわけです。 また、LoadA
Apacheクックブック
本書はUSENETニュースグループの問題解決のリスト、ApacheのFAQ、Apacheメーリングリストなどに寄せられる膨大な問題から、特に必要とされているトピックを150選び、課題から解法と進むレシピ形式でまとめました。ソースコードの基本的なコンパイルから、性能の最適化、セキュリティやSSLの暗号化に関する複雑な問題まで、幅広いトピックをわかりやすく取り上げています。現場での様々な局面を想定して書かれた本書は、Webサーバ管理者必携の書です。 まえがき 1章 インストール レシピ1.1 Red Hat Linuxパッケージからインストールする レシピ1.2 WindowsにApacheをインストールする レシピ1.3 Apacheのソースをダウンロードする レシピ1.4 Apacheをソースからビルドする レシピ1.5 ApacheToolboxでインストールする レシピ1.6 Apac
Apacheセキュリティ
本書はApacheベースのシステムをセキュリティで保護するために必要な情報をすべて盛り込んだ書籍です。 Apacheセキュリティの原則、SSL、サービス妨害攻撃、サーバの共有、アクセス制御など基礎的なことから、インフラストラクチャ、Webセキュリティの診断、Web侵入検知など高度なトピックまで、Apacheをセキュアに保つ方法を詳細な解説と豊富なサンプルでわかりやすく説明します。一度ログインしたユーザーが複数のリソースにアクセスできるシングルサインオンなど最新のトピックも掲載。システム管理者、プログラマ、システムアーキテクトなどWebセキュリティに関わるすべての人に必携の一冊です まえがき 謝辞 1章 Apacheのセキュリティの原則 1.1 セキュリティの定義 1.1.1 セキュリティの基本原則 1.1.2 一般的なセキュリティ用語 1.1.3 セキュリティプロセスの手順 1.1.4 脅
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20090726/p01/
Google Code Archive - Long-term storage for Google Code Project Hosting.
setting contents-type
Google Code Archive - Long-term storage for Google Code Project Hosting.
unsanity.org - unsanity リソースおよび情報
mod_rewrite and friends: URL Mapping, Content Munging and Conditional Configuration