Apache HTTP Server: mod_proxy reverse proxy exposure (CVE-2011-3368) From: Joe Orton <jorton () apache org> Date: Wed, 5 Oct 2011 14:58:02 +0000 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Apache HTTP Server Security Advisory ==================================== Title: mod_proxy reverse proxy exposure CVE: CVE-2011-3368 Date: 20111005 Product: Apache HTTP Server Versions: httpd 1.3 all versions,
Apache HTTP Serverをリバースプロキシモードで利用している場合にこの問題の影響を受ける。Apacheはパッチを公開して脆弱性に対処した。 Apache HTTP Serverのリバースプロキシ機能(mod_proxy)に新たな脆弱性が発覚し、問題を修正するためのパッチが公開された。 Apacheのセキュリティ情報などによると、この問題はApache HTTP Serverをリバースプロキシモードで利用している場合に影響を受ける。脆弱性を悪用された場合、リモートのユーザーが細工を施したリクエストを送り付けることによって、内部のサーバの情報が流出する恐れがある。 脆弱性が存在するのは、httpd 1.3とhttpd 2.xの全バージョン。Apacheはバージョン2.2.21向けのパッチを公開してこの問題に対処している。
nginxやvarnishなどがアツいですが、Apacheもまだまだ実績や安定性から採用されていると思います。ここではデフォルトとは異なる値に変更するサーバ設定を中心に、パフォーマンス改善、安全性向上のためのApacheの設定を紹介します。 mpmの確認 > /path/to/bin/httpd -V Server version: Apache/2.2.19 (Unix) Server built: Jun 23 2011 17:13:13 Server's Module Magic Number: 20051115:28 Server loaded: APR 1.4.5, APR-Util 1.3.12 Compiled using: APR 1.4.5, APR-Util 1.3.12 Architecture: 64-bit Server MPM: Worker PreforkやW
2011年7月4日(月) ■ mod_noloris _ 2年遅れの slowloris 対策つづき。続けるつもりはなかったんだが。 _ apache 2.3 のソースを眺めてたら、modules/experimental/ の下に mod_noloris.c がまぎれこんでた。同時接続数を制限して上限を越えたらエラーにしましょう、ってモジュールですな。ただし、リクエストを受けている途中のものしか数えないので、大量同時ダウンロードの制限をするような用途には流用できない。slowloris 系の攻撃を防ぐ以外にはまったく役に立つ場面はなさげな感じ。ちゃんとした同時接続数制限がやりたければ mod_limitipconn みたいなサードパーティモジュールでやってください、と。 _ これも slowloris attack によって受ける被害を緩和するだけで、根本的な問題を解決してるわけではない
先日、Web サーバ勉強会 #2 が開かれました。内容は、Apache のチューニングということで、参加したかったのですが、他の予定があって参加できませんでした。 そこで、僕が個人的に行っている Apache のチューニングを紹介したいと思います。最初、スライドで作成しようかと思ったのですが、ブログにまとめたほうがよさそうなのでブログにまとめていきます。 まず、大前提として Apache をチューニングするうえで、大事なことはその Apache が提供する Web サービスの種類のよって大きくチューニングする内容が異なるということです。例えば、動画・写真共有サービスと株価情報のサービスを比較すると、当然のことながら大きくサービスの内容が異なりますし、HTTP レベルでみるとクライアントからのリクエスト数、データサイズ、などがかなり違ってきます。 ですので、まずは自分が扱っているウェブサービ
Apache Lucene sets the standard for search and indexing performance Apache Lucene Core Apache Lucene™ is a high-performance, full-featured search engine library written entirely in Java. It is a technology suitable for nearly any application that requires structured search, full-text search, faceting, nearest-neighbor search across high-dimensionality vectors, spell correction or query suggestions
The Apache Software Foundation provides support for the Apache community of open-source software projects. FreeBSD開発者であるRobert Watson氏が[libdispatch-dev] GCD MPM for Apacheにおいて、GCDを利用したApache用のマルチプロセッシングモジュール"Apache GCD MPM"を発表した。Apacheの開発ブランチに取り込んではどうかという提案もでている。 GCD (Grand Central Dispatch)はMac OS X Snow Leopardで登場したマルチコア対応のためのフレームワーク。従来の方法でスレッドを記述するのと比べ、並列処理させたい部分をブロックで囲む程度で並列処理化が可能という特徴があり、シンプル
リバースプロキシな環境では mod_rpaf 使ったりすることが多いと思いますが、バックエンドの apache でアクセス制限かける場合には、mod_extract_forwarded を使ったほうが良いよ、というお話。 バックエンドの apache 2.0 + mod_rpaf な環境で .htaccess によるアクセス制限をかけようとしても、接続元の IP アドレスではなく、pound の IP アドレスで制限がかかってしまう、という現象に悩まされました。で、ソースを眺めてみると mod_rpaf は ap_hook_post_read_request で実行されているのに対し、mod_access は ap_hook_access_checker で実行されています。おそらく、ap_hook_post_read_request よりも ap_hook_access_checker
This service, gitbox.apache.org, provides Apache projects with a two-master setup of Git repositories so committers can use two different ways to commit code to the Apache Software Foundation: through GitHub or through the ASF. All Apache repositories present on GitBox are available on GitHub with write-access enabled, including rights to open/close/merge pull requests and address issues. Once you
自宅のサーバはMac OS Xに付属のApache-1.3.33を使用してきましたが、デフォルトでインストールされているPHPのコンパイルオプションが十分でないため、そのままではSquirrelMailをインストールすることができません。 Apache-2.xはApache-1.xに較べてSSLの有効化がとても簡単になっています。PHPのインストールもMacPortsを使うととても簡単ですので、MacPortsでApache2に移行することにしました。以下は、Apache2をインストールして、SSLを有効にするまでの手順のメモです。 Apache2のインストール Apache2自体のインストールはお決まりのportコマンドの実行です。 $ sudo port -v install apache2 後は、/opt/local/apache2/confにあるhttpd.conf.sampleを
Chromeに対応するためには、subjectAltNameを設定した自己署名証明書を作成する必要があります。 subjectAltNameが設定されていない証明書はChromeで NET::ERR_CERT_COMMON_NAME_INVALID エラーを参照してください。 SSLのテスト用に、MacPortsでインストールしたApacheにSSLの設定をした。 conf/httpd.conf # Secure (SSL/TLS) connections Include conf/extra/httpd-ssl.conf 秘密鍵と証明書ファイルのパスの設定を確認。(デフォルトのまま使用することにする。) conf/extra/httpd-ssl.conf # Server Certificate: # Point SSLCertificateFile at a PEM encoded c
[Mon Sep 01 21:00:44 2008] [error] [client 127.0.0.1] failed to resolve handler `MyApp::ModPerl': Can't load '/Library/Perl/5.8.8/darwin-thread-multi-2level/auto/Class/MOP/MOP.bundle' for module Class::MOP: dlopen(/Library/Perl/5.8.8/darwin-thread-multi-2level/auto/Class/MOP/MOP.bundle, 1): no suitable im こんなエラーが出ちゃう時はfileコマンドすればわかるんだけど $ file /Library/Perl/5.8.8/darwin-thread-multi-2level/auto/Cl
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く