Apacheセキュリティ設定 - Qiita
概要 Apache の設定について共通化できるセキュリティ設定とその各項目についてまとめた。 設定例 必須設定 cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens ProductOnly Header always unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header always set X-Frame-Options "SAMEORIGIN" # XSS対策 Header always set X-XSS-Protection "1; mode=block" Header always set X-Content-Type-Options "nosniff" # XST対策 Trace
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
Apache HTTP Serverに情報流出の脆弱性が発覚
Apache HTTP Serverをリバースプロキシモードで利用している場合にこの問題の影響を受ける。Apacheはパッチを公開して脆弱性に対処した。 Apache HTTP Serverのリバースプロキシ機能(mod_proxy)に新たな脆弱性が発覚し、問題を修正するためのパッチが公開された。 Apacheのセキュリティ情報などによると、この問題はApache HTTP Serverをリバースプロキシモードで利用している場合に影響を受ける。脆弱性を悪用された場合、リモートのユーザーが細工を施したリクエストを送り付けることによって、内部のサーバの情報が流出する恐れがある。 脆弱性が存在するのは、httpd 1.3とhttpd 2.xの全バージョン。Apacheはバージョン2.2.21向けのパッチを公開してこの問題に対処している。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
