セキュリティ情報 CVE-2009-3555 への対応について — Apache JP
セキュリティ情報 CVE-2009-3555 への対応について Apache mod_ssl が使用している TLS/SSL プロトコルに脆弱性がみつかりました。修正のためには、OpenSSL の更新または Apache httpd へのパッチが必要です。 Apache HTTP Server Project からの announce によると TLS/SSL プロトコルに存在する脆弱性により、中間者攻撃が可能になる場合があるようです。 Apache の mod_ssl が利用している OpenSSL は、これへの対策として OpenSSL 0.9.8l をリリースしていますので、最新の OpenSSL をインストールして httpd からもこれを利用するように再インストールおよび/または (動的にリンクしている場合) 再起動してください。 何らかの事情で OpenSSL の更新ができない
Apache HTTP Server 2.2.24 がリリースされました — 日本 Apache ユーザー会
2013年2月26日、セキュリティ修正等を含む Apache HTTP Server 2.2.24 がリリースされました セキュリティの修正等を含む Apache HTTP Server 2.2.24 がリリースされました。ダウンロードは公式サイトから。CVE の割り当てられたセキュリティ上の修正は以下の2つとなっていますが、本記事最後で触れている SSLCompression ディレクティブの追加も SSL に関する攻撃に関連するようです。 mod_info、mod_status、mod_imagemap、mod_ldap、および mod_proxy_ftp において出力される HTML でホスト名が適切にエスケープされないため、XSS の問題が発生していたのを修正しました。Apache HTTP Server 2.4.4 でも同様に修正されます。 (CVE-2012-3499)mod_
Apache HTTP Server 2.4.4 がリリースされました — 日本 Apache ユーザー会
2013年2月25日、セキュリティ修正等を含む Apache HTTP Server 2.4.4 がリリースされました セキュリティの修正等を含む Apache HTTP Server 2.2.24 がリリースされました。ダウンロードは公式サイトから。CVE の割り当てられたセキュリティ上の修正は以下の2つとなっていますが、SSLCompression ディレクティブのデフォルトの挙動の変更は SSL への CRIME 攻撃に関係しています。 mod_info、mod_status、mod_imagemap、mod_ldap、および mod_proxy_ftp において出力される HTML でホスト名が適切にエスケープされないため、XSS の問題が発生していたのを修正しました。Apache HTTP Server 2.2.24 でも同様に修正されます。 (CVE-2012-3499)mod
Apache HTTP Server 2.2.23 がリリースされました — Apache JP
Apache HTTP Server 2.2.23 がリリースされました セキュリティ修正等を含む Apache HTTP Server 2.2.23 がリリースされました セキュリティの修正等を含む Apache HTTP Server 2.2.23 がリリースされました。ダウンロードは公式サイトから。 インストールされる envvars スクリプトでの LD_LIBRARY_PATH 変数の扱いに問題があり、LD_LIBRARY_PATH が空であった場合にカレントディレクトリも LD_LIBRARY_PATH にセットされ、悪意のあるローカルユーザに細工されると、意図しない場所から動的リンクファイルが検索されることがあるという問題が修正されました。これは Apache HTTP Server 2.4.2 での修正と同様のものです (CVE-2012-0883)mod_negotita
Apache HTTP Server 2.4.3 がリリースされました — Apache JP
Apache HTTP Server 2.4.3 がリリースされました Apache HTTP Server 2.4.3 がリリースされました セキュリティの修正等を含む Apache HTTP Server 2.4.3 がリリースされました。 mod_proxy_ajp や mod_proxy_http において、バックエンド接続を閉じる際にレスポンスを混ぜてしまうことがあり、プライバシーの漏洩につながる脆弱性があったのが修正されました (CVE-2012-3502)mod_negotitation において、MultiViews が有効な場所にユーザーが細工したファイル名のファイルをアップロードすると、variant により複数のアクセス選択が表示された際に XSS が起こりうるという脆弱性があったのが修正されました (CVE-2012-2687)
Apache HTTP Server 2.4.1 がリリースされました — Apache JP
Apache HTTP Server 2.4.1 がリリースされました Apache HTTP Server の新しい安定版である 2.4 系列の最初の GA リリース、2.4.1 がリリースされました。 Apache HTTP Server の新しい安定版である 2.4 系列の最初の GA リリース、2.4.1 がリリースされました。 (GA = General Availability あるいは General Acceptance) 複数の MPM を動的に読み込み可能にOCSP (オンライン証明書状態プロトコル) のサポートの大幅な強化スクリプト言語 Lua を組み込むモジュール (mod_lua)動的なリバースプロキシの設定認証、認可の改良FastCGI プロキシ新しい Expression (式) のパーサ小さなデータオブジェクトをキャッシュする API の追加 といった改良、
Apache HTTP Server 2.2.22 が リリースされました — Apache JP
Apache HTTP Server 2.2.22 が リリースされました Apache HTTP Server の 2.2.22 がリリースされました。 Apache HTTP Server の 2.2.22 がリリースされました。安定版である 2.2 シリーズの最新版です。今回のリリースは6つのセキュリティ上の修正を含む、不具合の修正になります。 アナウンス(英語)2.2.21 からの変更点(英語) 修正されたセキュリティ上の問題は以下の6点です。 CVE-2011-3368 CVE-2011-3607CVE-2011-4317 CVE-2012-0021 CVE-2012-0031CVE-2012-0053
Apache HTTP Server 2.2.21 が リリースされました — Apache JP
mod_proxy_ajp で、正しくないメソッドの処理が正しく NOT IMPLEMENTED を応答するよう修正 (CVE-2011-3348)Range ヘッダの処理の脆弱性 (いわゆる Apache Killer) への対策において、あるパターンの Range リクエストに正しい応答を返さなくなっていたことへの修正 (PR 51478)mod_filter: AP_FILTER_PROTO_NO_BYTERANGE で登録された filter において、Accept-Range ヘッダは落とすのではなく、none という値を設定するようにしたmod_proxy_ajp: ヘッダが送られていないのに flush リクエストが送られてきた場合には、それを無視するようにした (PR 51608)mod_dav_fs: DBM ドライバーが読み込めない場合に、segfault で落ちてしま
Apache HTTPD 1.3/2.x の Range ヘッダーの DoS 脆弱性について — Apache JP
Apache HTTPD 1.3/2.x の Range ヘッダーの DoS 脆弱性について Apache HTTPD の 1.3/2.x の Range ヘッダーの処理に DoS 攻撃の原因となる脆弱性が発見されました。パッチがリリースされるまでのとりあえずの対策が公開されいます。 8月20日に Full-Disclosure メーリングリストにおいて、Apache HTTPD 1.3/2.x の Range ヘッダー処理の問題を突いて、Apache HTTPD を処理不能にしてしまうスクリプトが公開されました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JAPAN APACHE USERS GROUP