Apache HTTP Serverに情報流出の脆弱性が発覚
Apache HTTP Serverをリバースプロキシモードで利用している場合にこの問題の影響を受ける。Apacheはパッチを公開して脆弱性に対処した。 Apache HTTP Serverのリバースプロキシ機能(mod_proxy)に新たな脆弱性が発覚し、問題を修正するためのパッチが公開された。 Apacheのセキュリティ情報などによると、この問題はApache HTTP Serverをリバースプロキシモードで利用している場合に影響を受ける。脆弱性を悪用された場合、リモートのユーザーが細工を施したリクエストを送り付けることによって、内部のサーバの情報が流出する恐れがある。 脆弱性が存在するのは、httpd 1.3とhttpd 2.xの全バージョン。Apacheはバージョン2.2.21向けのパッチを公開してこの問題に対処している。
七夕
2011年7月4日(月) ■ mod_noloris _ 2年遅れの slowloris 対策つづき。続けるつもりはなかったんだが。 _ apache 2.3 のソースを眺めてたら、modules/experimental/ の下に mod_noloris.c がまぎれこんでた。同時接続数を制限して上限を越えたらエラーにしましょう、ってモジュールですな。ただし、リクエストを受けている途中のものしか数えないので、大量同時ダウンロードの制限をするような用途には流用できない。slowloris 系の攻撃を防ぐ以外にはまったく役に立つ場面はなさげな感じ。ちゃんとした同時接続数制限がやりたければ mod_limitipconn みたいなサードパーティモジュールでやってください、と。 _ これも slowloris attack によって受ける被害を緩和するだけで、根本的な問題を解決してるわけではない
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Full Disclosure: Apache 2.2.17 exploit?
