タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた - piyolog
2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの? Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリ
Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見
2021年10月6日に、CVE-2021-41773の修正を含むApache HTTP Server 2.4.50がリリースされました。 当該CVEはパストラバーサルの脆弱性であり、この脆弱性が悪用されるとDocumentRoot外にあるファイルが、インターネットから閲覧される可能性があります。なおこの脆弱性はApache HTTP Server 2.4.49のみに存在するものであり、それより古いバージョンには影響しません SOCでは、10月6日より当該CVEを狙った通信をお客様環境にて観測しています。 当該CVEを狙ったスキャン通信の例を図-1に示します。 図-1 CVE-2021-41773の有無を確認するスキャン通信例 Apache HTTP Serverのシェア率の高さや攻撃の容易さなどを鑑み、筆者の所属する解析チームにて本脆弱性を検証し、詳細を確認しました。 確認時点では既に攻撃
こんにちは、去年の8月に入社しましたMSP事業部エンジニアリンググループの鈴木です。 本記事は、Apache HTTP Server(以降「Apache」と略す)のgraceful stop/restart(以降、2つを指す場合「graceful」と略す)について調査・理解したことをまとめたものになります。具体的には以下について調査しました[※1]。 gracefulの概要、通常のstop/restartとの違いおよびユースケース systemd(systemctl)でgracefulを実行する方法 gracefulを実行する3つのコマンドの動作や関係性 gracefulを実行するコマンドの動作確認(ドキュメントの裏取り) 付録:graceful関連のソースコード解析(理解できている範囲のみ) なお、今回は私個人の学びの一環としてgracefulの基本的なことから調査しましたので、内容とし
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた | DevelopersIO
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた ALBの実装はわからないのであくまで考察となります。 ALBについて考えてみたと謳っていますが、メインはNGINXのソースリーディングです。 少し長いですが、AWS環境でパストラバーサル攻撃の検証を行う際には頭の片隅に入れておくと良いかもしれません。 背景 2021/10/5にApache HTTP Server(以下Apache)の脆弱性が報告されました(CVE-2021-41733, CVE-2021-42013)。 Apacheの2.4.49および2.4.50においてパストラバーサル攻撃およびリモートコード実行の可能性があります。 ※Amazon Linux2でyum経由でインストールすると2021/10/11時点では2.4.48がインス
JPCERT-AT-2021-0043 JPCERT/CC 2021-10-06(新規) 2021-10-08(更新) I. 概要Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性(CVE-2021-41773)があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。 The Apache Software Foundation important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773) https://httpd.apache.org/s
「Apache HTTP Server」のゼロデイ脆弱性が公開される、攻撃を防ぐには最新バージョンへのアップグレードが必要
オープンソースのWebサーバーソフトウェアとして広く使われている「Apache HTTP Server」に、新たなゼロデイ脆弱性(ぜいじゃくせい)が存在することが開示されました。今回報告された脆弱性「CVE-2021-41773」により、本来は見られないファイルにアクセスするパストラバーサル攻撃が可能となってしまうとのことで、Apacheソフトウェア財団は最新バージョンへのアップグレードを呼びかけています。 Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project https://httpd.apache.org/security/vulnerabilities_24.html Apache fixes actively exploited zero-day vulnerability, patch no
こんにちは、ITエンジニアの小村(@system_kom)です。 以前のブログ記事でCentOS上にSSL対応したApache httpdの環境を作成してPHP7.2をインストールする手順を紹介しました。 2018年5月当時に書かれた、前回 ... Copyright © 2023 レムシステム エンジニアブログ All Rights Reserved.
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性 - CVE-2006-20001 mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性 - CVE-2022-36760 mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題 - CVE-2022-37436 想定される影響は各脆弱性により異なりますが、
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したい こんにちは、のんピ(@non____97)です。 皆さんは一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したいなと思ったことはありますか? 私はちょっとあります。 以前、以下記事でApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスをAuto ScalingさせてALBで接続
![[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58352a94df47d0b99e7fafc14aff639f05f1518d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-cdk.png)
関連キーワード Apache | サーバ | 脆弱性 2021年10月4日(現地時間)、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱(ぜいじゃく)性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。 パッチ適用を急がなければいけない理由 併せて読みたいお薦め記事 さまざまな脆弱性 セキュリティ研究家が“怒り”の公開 Apple「iOS」3つの脆弱性とは 「Exchange」の“設計上のミス”が招いた情報漏えいとは? 無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”
Docker で CentOS Linux 8 環境を構築して Apache HTTP Server を起動する - Qiita
概要 macOS 上の Docker で CentOS Linux 8 環境を構築する Apache HTTP Server を起動してコンテナ内外からアクセスする 今回の環境 macOS Catalina Docker Desktop Community 2.2.0.4 Docker 19.03.8 CentOS Linux 8 Apache HTTP Server 2.4.37
【AWS】初心に戻って1からVPCを構築してみた Apache HTTP Server構築編 - Qiita
はじめに 昨日の記事の続きです。VPC、パブリックサブネット、プライベートサブネット、ルートテーブル、EC2インスタンスを構築しました。本日はインスタンスにWEBサーバの機能を持たせようと思います。 具体的にはApache HTTP Serverをインストールします。Apacheはオープンソースで提供されています。 世界で一番利用されているWebサーバーソフトウェアです。 過去の記事は以下から参照ください。 構成図 手順 1. インスタンスにログインします。ログイン方法は昨日の記事をご参照ください。 2. 以下のコマンドでLinuxシステムにインストールされているすべてパッケージのバージョンを最新のものに更新します。 トランザクションの要約で確認の応答にyと入力します。完了しました!と出たら成功です。 % sudo yum update トランザクションの要約 ==============
前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み
前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み Apache HTTP Server 2.4.50のリリースから3日後、新バージョンの「Apache HTTP Server version 2.4.51」が公開された。Apache Software Foundationによれば前回の脆弱性の修正が不十分だったという。
いまさら聞けない「Apache HTTP Server」と「Apache Tomcat」の違いとは?
関連キーワード Apache | アプリケーションサーバ | Webアプリケーション 「“Apache”と“Tomcat”は何が違うのか?」 これは開発者がよく耳にする質問だが、誤解を招く恐れのある聞き方だ。一般的に、この質問で真に尋ねたいのは「『Apache HTTP Server』と『Apache Tomcat』(以下、Tomcat)は何が違うのか」という点だ。Apache HTTP ServerもTomcatも、オープンソースソフトウェアの開発プロジェクトを運営する非営利団体Apache Software Foundationが管理している。この事実を考えると、「Apache対Tomcat」という質問の不正確さが理解できるだろう。 この混乱は主に「Apache」という単語が、「Apache HTTP Server」を指す一般用語となっていることが原因だ。1995年に公開されたApac
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月10日、「JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Server 2.4に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってさまざまな影響を及ぼされる危険性があるとされており注意が必要。 JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート 脆弱性に関する情報は次のページにまとまっている。 Apache HTTP Server Project - Apache HTTP Server 2.4.54 Release
CentOS 8 のApache HTTP Server環境にcertbotでLet's Encrypt SSLを利用する方法
CentOS 8にウェブサーバー用ソフトウェア「Apache httpd」と「PHP」をインストールする手順を以下の記事で紹介しました。このままでも運用はできますが、最近ではHTTPを暗号化するHTTPSが一般的になっています。 サーバーが ... Copyright © 2024 レムシステム エンジニアブログ All Rights Reserved.
Notes about the password encryption formats generated and understood by Apache. Basic Authentication There are five formats that Apache recognizes for basic-authentication passwords. Note that not all formats work on every platform: bcrypt "$2y$" + the result of the crypt_blowfish algorithm. See the APR source file crypt_blowfish.c for the details of the algorithm. MD5 "$apr1$" + the result of an
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache HTTP Server」に2件の脆弱性 ~v2.4.52へのアップデートを/最大深刻度は「High」
Apache HTTP Serverのgraceful stop/restartを理解する
Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
CentOS 7にPHP 7.3をインストールしてApache HTTP Serverと連携させる方法
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正/「Apache 2.4.56」への更新を
JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited
「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」のゼロデイ脆弱性対策は不十分 ~「Apache 2.4.51」で追加修正/パストラバーサルによりドキュメントルートの外にあるファイルへアクセスされる
「Apache HTTP Server」にセキュリティアップデート ~3件の脆弱性を修正/「Apache 2.4.59」への更新を
Apache HTTP Server 2.4に脆弱性、アップデートを
Password Formats - Apache HTTP Server Version 2.4
ameblo.jp/akitakata-shiseinet
tabelog.com
productzine.jp
hobby.watch.impress.co.jp
shonenjumpplus.com
sankyosha.ne.jp