ログイン
ユーザ名:

パスワード:


パスワード紛失

新規登録
Main Menu
Tweet
Facebook
Line
フラット表示 前のトピック | 次のトピック
投稿者 スレッド
webadm
投稿日時: 2021-10-6 17:39
Webmaster
登録日: 2004-11-7
居住地:
投稿: 2955
apacheを2.4.50にアップデート
なんか、ニュースサイトを見たら、最近のapacheに驚愕の脆弱性があることが発覚したらしく、アップデートが推奨されていることを知る。

長年セキュリティホールが発見されるたびに対策修正でアップデートしてきたapache 2.4だけど、近年発覚したサーバーディレクトリ外のファイルシステム上のファイルをアクセスできる脆弱性が対策されたばかりなのに、その対策に抜け穴があったらしい。

httpのURIではunixのファイルパス記述と互換なので、..を使用して親ディレクトリを参照することができるけど、それをやると仮想ディレクトリの更に上の/まで遡ることができ、/配下の任意のディレクトリ内のファイルがアクセスできるという驚愕の事実。

そこで対策として、..をパターンチェックする処理が加わったわけだけど、httpでは、特殊文字は%でエスケープして等価な文字として渡すことが出来る点を配慮していなかった。なので%でエスケープした.文字をURIに使用することができ、依然としてセキュリティホールが開いたままだったということが発覚したらしい。

対策としては対策が修正された、apache 2.4.50にアップデートするしかないぽい。

ということで当サイトも早速、入れ替えました。

問題があった2.4.49より前のバージョンならそのままでもいいらしいけどね。

そんだけ。
フラット表示 前のトピック | 次のトピック

題名 投稿者 日時
 » apacheを2.4.50にアップデート webadm 2021-10-6 17:39
     apacheを2.4.51にアップデート webadm 2021-10-12 22:06

投稿するにはまず登録を
 
ページ変換(Google Translation)
サイト内検索