Rangeヘッダの問題以外のApacheリバースプロクシでの問題
追記 タイトルが微妙にミスリーディングだったかもしれません。RangeヘッダのCVE-2011-3192はリバースプロキシとは無関係に起きる問題です。 Rangeヘッダの問題(CVE-2011-3192)が大きすぎて、Apacheにある他のリバースプロクシの問題の影が薄いので書いておきます。きっかけは、このITmediaの記事です。ふたつの別個の問題を混在して伝えている気がするからです(書き方が思わせぶりで詳細を書かないので真相は不明ですが)。 Apacheをリバースプロクシで使った時に次のふたつの問題が最近見つかっています。 mod_proxy_ajpとmod_proxy_balancerを組み合わせた時に起きる問題。不正リクエストを送ってDoS攻撃が可能 mod_proxyと特定の設定で起きる問題。内部サーバなどに外部からアクセスされる可能性がある 前者のCVE-2011-3348のバ
Apache HTTP Serverの脆弱性を突く「Apache Killer」――パッチは48時間以内にリリース予定 | OSDN Magazine
Apache HTTP Serverの開発チームは8月24日、同Webサーバーの脆弱性を突くDDoS攻撃ツール「Apache Killer」が出回っていると警告した。該当するApacheは1.3系および2系の全バージョン。パッチ発行までユーザーはおのおので対応を講じるよう呼びかけている。 Apache KillerはFull-disclosureというメーリングリストで先週公開された。問題となっているのは「Range header DoS」と呼ばれる脆弱性。リモートから多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させるというもの。バージョン1.3系および2系のすべてがこの脆弱性を持つという。デフォルト設定ではこの攻撃に対し脆弱で、現在この脆弱性を修正するパッチやリリースはない。Apache Killerではこの脆弱性が悪用され、多数のリクエスト
httpd.confについて調べたのでまとめたよ - とある技術の備忘録
最近学科の友人3人とサーバ/セキュリティについての勉強会を週1で行っていて、毎回何か調べてくることになっており、今回は apache の設定について少し調べてきました。初心者がまとめたので間違っている部分があるかもしれませんが、勉強の役に立てて頂ければ幸いです。 httpd.confはどこにある? 最小限のhttpd.conf 3つのセクション セクション1: GlobalEnvironment セクション2: MainServerConfiguration セクション3: VirtualHosts モジュールの追加 外部設定ファイルの読込み サーバリソースの監視方法 httpd.confはどこにある? OSによって異なりますが、以下の階層に置いてある可能性が高いです。 CentOS、FedoraなどRed Hat系 /etc/httpd/conf/ SUSE系、MacOSX /etc/a
ウノウラボ Unoh Labs: 今からはじめるCassandra入門
こんにちわ、7月に入社したばかりの@emorinsです。 題名の通りですが分散データベース『Apache Cassandra』を紹介したいと思います。 少し前はHadoop(とHBase)と比較されることの多かったCassandraですが、最近はHadoopの人気に押されつつあるようにも感じます。 しかし、CassandraとHadoopは特徴が異なり、よく言われるのがCassandraはリアルタイム処理に向き、一貫性のかわりに可用性を重視し、またHadoopとは違って単一障害点もありません。 今日はそんなHadoopとは違った魅力のある分散データベース『Apache Cassandra』をはじめてみましょう。 目次 Cassandraとは アーキテクチャ Cassandraの特徴 コンシステンシレベル データモデル MemtableとSSTable セットアップ storage-conf
VMwareにUbuntuとLAMP環境を作ってWordpressを入れるメモ | memoMania
VMware Player for WindowsにubuntuとLAMP、phpmyadminを入れたメモです。 VMware Player VMware Playerのダウンロード、無償版のVMware - VMware Ubuntu8.04 仮想マシン VMware用仮想マシン | Ubuntu Japanese Team とりあえずUbuntuをアップデート sudo apt-get update sudo apt-get upgrade 時間かかる。 Apache sudo apt-get install apache2 PHP5とApache関連ファイル sudo apt-get install php5 libapache2-mod-php5 Apache再起動 sudo /etc/init.d/apache2 restart PHPとApacheの動作確認 cd
Ubuntuを使ったWebサーバ構築
Webアプリケーションサーバとして急速に普及 Linuxサーバは、Webアプリケーションのプラットフォームとして広く利用されています。その中でもUbuntuは、動的なWebページを生成するために必要なプログラムを簡単にセットアップするための仕組みを備えており、Webアプリケーションサーバ用のOSとして急速に普及しつつあります。 例えば、オープンソースのエンタープライズ向けコンテンツマネジメントシステム「Alfresco」を提供しているAlfresco Software社が2007年に行った調査(http://www.alfresco.com/community/barometer/)によると、Alfrescoのプラットフォームとして最も多く利用されているOSはUbuntuでした。 35,000のコミュニティメンバーにアンケートをとった結果、LinuxをOSとして利用しているメンバーのうち、
UbuntuにLAMPサーバを手早くインストールする方法 - builder by ZDNet Japan
私はこれまでに何度も、UbuntuにLAMP(Linux、Apache、MySQL、PHP)サーバを手早くインストールする最も簡単な方法を教えてほしいと尋ねられた経験がある。このため、ここにその方法を公開し、誰もが読めるようにしておくべきだと思うに至ったのだ。では、以下にその方法について記しておくことにしよう。 ここでは、対象のサーバには関連コンポーネントがいっさいインストールされていないという前提を置いている。また、あなたが該当サーバにおいてsudoコマンドを発行できる権限を有しているという前提も置いている。白紙状態からのスタートという場合、まずApacheをインストールする必要がある。Apacheをインストールするには、(ターミナルから)以下のコマンドを発行することになる。 sudo apt-get install apache2 このインストールコマンドを発行した後で、Apacheの
IPv6 とかよくわからない人間が IPv6 対応サイトを作る際の知っておくべき 8 つの注意点 : にぽたん研究所
先日、一般や企業向けに IPv6 対応を支援をする、EDGE Co.Lab v6 というのを始めました。 これを始めるにあたって、弊社情報環境技術研究室の伊勢さんから、「なんかウチでやってるコンテンツで、どれか IPv6 対応しようよ」と、いきなり言われました。 実は IPv6 って何年も前からよく耳にするけど、特にインフラまわりの知識が拙いし、何だかんだ身の回りのほとんどが IPv4 で、それでまぁウマくいってるからよくわからないし、別にどうでもいい…と、IPv6 に対して「現実味がない。時期尚早なのでは?」みたいな勝手な印象を抱いて、毛嫌いしてました。 伊勢さんは 2ch の IPv6 板とかを立ち上げたらしく、IPv6 でアクセスすると、トップページのひろゆきが踊って表示されるそうです。 IPv6 と IPv4 の差って、ひろゆきが踊るか踊らないかの差だけ?とか、そうじゃないのをわか
Google,Webアプリ用試験ツール「ratproxy」をオープンソースとして公開
米Googleは米国時間2008年7月1日,Webアプリケーションの安全性を確認できるツール「ratproxy」をオープンソースとして公開した。同社のWebサイトから無償ダウンロード提供している。 同ツールは,これまで同社が社内でWebアプリケーションを試験する際に使っていた。プロキシ・サーバーとして作動し,クロスサイト・スクリプティングに悪用される恐れのあるコードや,情報漏えいにつながる問題などを調べられる。従来のセキュリティ・ツールと違い,意識することなく利用でき,オーバヘッドも小さいという。 ソフトウエア・ライセンスはApache License 2.0。現在のバージョンは「1.51ベータ」。Linux/FreeBSD/Mac OS Xと,Windows向け疑似UNIX環境Cygwin用に開発した。 [GoogleのMichal Zalewski氏によるブログ投稿記事]
Apache/PHP/MySQLなどをWindowsに一発でインストールできる「VertrigoServ」 - GIGAZINE
Apache/PHP/MySQL/SQLite/SQLiteManage/PhpMyAdmin/Zend OptimizerをWindowsにまとめてオールインワンでインストールすることができるようになっているのがオープンソースで開発されているこの「VertrigoServ」。 これらの各ソフトについて簡単に設定を変更できるコントロールパネルっぽいものがタスクトレイから一発で呼び出せるようになっており、非常に設定が簡単です。また、インストーラは日本語化されているので安心です。 実際のインストール方法などは以下から。 VertrigoServ http://vertrigo.sourceforge.net/ ダウンロードしたら実行します 「OK」をクリック 「次へ」をクリック 「同意する」をクリック 「次へ」をクリック さらに「次へ」をクリック 「インストール」をクリック インストール中……
Apache 2.0の必須設定と基本セキュリティ対策
Apache 2.0の必須設定と基本セキュリティ対策:実用 Apache 2.0運用・管理術(1)(1/3 ページ) 本連載では、Apache 2.0の運用や管理方法を解説する。第1回では、その下準備として必須の設定と基本的なセキュリティ対策を行い、今後の運用に備える。(編集部) WebサーバのデファクトスタンダードApache Webサーバと聞いて、Apache Webサーバ(以下Apache)を思い浮かべないLinuxユーザーはいないでしょう。いまや、ApacheはWebサーバのデファクトスタンダードという地位を確立しています。Netcraft社の2005年7月の調査(http://news.netcraft.com/archives/2005/07/)によると、WebサーバにおけるApacheのシェアは7割に及んでいます。 HTTP/HTTPSがeビジネスの基盤として使用されるように
ゆーすけべー日記: YourAVHost その後
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
ウェブ・アプリケーションの革命がここにある - Apache Wicketユーザーグループを始めます - 矢野勉のはてな日記
Java, Wicket このブログをいままで読んでいる方なら、私がApache Wicketの大ファンだということはご存知でしょう。ついに1.3としてApacheプロジェクト入りしてから最初のリリースを果たしたWicketフレームワークは、日本ではまだそれほど普及していませんが、今年は米国で「Wicket in Action」が出版される予定があるなど、かなり注目されているフレームワークです。 私はそんな控えめな表現では表せない魅力をWicketに感じています。Wicketは、Javaのいままでのフレームワーク開発の積み重ねがもたらした「ウェブ・アプリケーションの革命」です。Echo2のようにHTMLを廃してJavaだけでプログラムを組むのでなく、JSFのように新しいテンプレートを作るのでもない。HTMLとJavaを結合して、HTMLをJavaで、Javaらしいコードで制御するという方向
HTTPステータス・コードとメソッド - CyberLibrarian
HTTPプロトコルでは、コンピュータ同士が通信している間に、コードを用いてお互いの状態(ステータス)をやり取りしています。このコードのことをHTTPステータス・コード(HTTP Status Code)と呼び、エラーが発生した場合に「404 Not Found」のようにブラウザ上に表示されたり、エラーが発生しなかった場合にも見えないところでやり取りされています。 また、通信を行うためにクライアントがサーバーに様々なリクエストを行いますが、このリクエストの方法をメソッドと呼びます。 規格
ウノウラボ Unoh Labs: オープンソース戦略により、無償で使えるようになった負荷テストツール
こんにちは! やまもと@テスト番長です。 ウノウラボのコメント欄まで熟読されている慧眼な方は既にお気づきかもしれませんが、WebLOADという商用の負荷テストツールがオープンソース化され、無料で利用出来るようになりました。 http://www.webload.org/ 以前自分が書いた WEBアプリのテストに必須なツール7種のエントリにsaltysonicさんがコメントで教えてくださいました。ありがとうございました! souceforge.net を探してみたところ、見つかりました。 WebLOAD 早速触ってみていますが、さすがに元商用だけあって多機能なようです。 関連記事も探してみたところ、以下のものが見つかりました。 http://news.earthweb.com/ent-news/article.php/3670176 http://www.testingreflec
広告β:口コミは高いところから低いところに流れる
一消費者を偽って、内部の人間が口コミらしきものを流すのを 「ステルス・マーケティング」と業界では呼んでいる。 しかしそういうヤラセ行為は炎上したり、告発されたりして失敗している。 最近はそういうものに対する反発は高まり、「口コミは誠実さが大切だ」と 業界にも反省の色が見え隠れする今日この頃。 とはいえ、「誠実さが大切」に落ちていくのは納得がいかない。それは広告一般にいえること。 だったら、口コミは何が大切なのか?まずは口コミの構造を考えてみる。 ただ、じゃあそのステルスマーケティングによって、クチコミが本当に広がっているのかと言われると、どうもそれは怪しいのではないかという気がしています。 たしかに、やらせブログの記事によって、製品を買う人は確実にいるでしょう。 でもその実際の製品が、やらせブログの記事の内容とかけ離れた製品であれば、結局その製品を買った人からはその製品に
Bodenplatte » XAMPP 1.4.14
まずはマイマシンにXAMPP 導入 XAMPPインストール ディスクの空き領域を確認したら、ダウンロードしてインストールを開始する。私は「Installer type: xampp-win32-1.4.14-installer.exe 」を使用した。以下、インストール手順は次のとおり。 ダウンロード適当な場所に Installer.exeをダウンロードする。ざっと25MBある。 インストーラの起動Installer.exeを実行する。普通にダブルクリックで問題なし。 「japanese」を選択最初にインストーラが使用する言語の選択画面が表示される。 初期画面は「次へ」何をインストールするかを表示する初期画面。これは普通に「次へ」でOK ライセンスに同意するライセンスへの同意が求められる。XAMPPはGPLである。含まれるapache httpdやPHP、MySQLなどは各々の
メディア・パブ: 世界のWebサイト数が1億を突破,サーバソフトはトップApacheにMSが急迫
英Netcraftの調査によると,2006年11月に,世界のWebサイト数が1億の大台に乗せた。Webサイト数は現在も,勢いよく開設されており,先月だけでも約350万サイトも増えている。そして,今月に入って1億143万5253サイトに達した。 以下は,1995年からのWebサイト数の推移である。その当時から,ネット事業をやっている人orやらされた人には,感慨深いグラフである(クリックで拡大表示)。100万サイト突破が1997年4月で,1000万サイト突破が2000年2月で,5000万サイト突破が2004年5月であったそうな。 (ソース:Netcraft) 同時に発表していた,Webサーバーのソフト数の推移も興味深い(以下の図は2000年8月からの推移:クリックで拡大可能)。Apacheの独走は当然としても,Microsoftの追い込みも凄まじい。この1年間のシェアで見ると,Apacheは1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Apache2.2.18は危険リリースらしい(2.2.19を待ったほうが良さそう)
PHPプログラミングの基礎を学ぼう(1/2) ? @IT
