2021年10月6日に、CVE-2021-41773の修正を含むApache HTTP Server 2.4.50がリリースされました。 当該CVEはパストラバーサルの脆弱性であり、この脆弱性が悪用されるとDocumentRoot外にあるファイルが、インターネットから閲覧される可能性があります。なおこの脆弱性はApache HTTP Server 2.4.49のみに存在するものであり、それより古いバージョンには影響しません SOCでは、10月6日より当該CVEを狙った通信をお客様環境にて観測しています。 当該CVEを狙ったスキャン通信の例を図-1に示します。 図-1 CVE-2021-41773の有無を確認するスキャン通信例 Apache HTTP Serverのシェア率の高さや攻撃の容易さなどを鑑み、筆者の所属する解析チームにて本脆弱性を検証し、詳細を確認しました。 確認時点では既に攻撃
2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの? Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリ
エグゼクティブサマリ PHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。 概要 PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018-17082が修正されました。以下は対応バージョンであり、これより前のすべてのバージョンが影響を受けます。ただし、Apacheとの接続にApache2handlerを用いている場合に限ります。 PHP 5.6.38 PHP 7.0.32 PHP 7.1.22 PHP 7.2.10 PHP 5.5以前も対象であり、これらは脆弱性は修正されていません。 脆弱性を再現させてみる この脆弱性のPoCは、当問題のバグレポートにあります。 PHP ::
やっちまった……。きっとだれもが通る道。というかとっくに FAQ か。 mod_perl における C10K problem" - 竹迫良範 恥ずかしながら、知らなかったッス。これって mod_ruby でもありうる話だよね? Apache で mod_perl を使用する時は MaxClients 設定に注意! Apache の MaxClients(子プロセスの最大数) デフォルト設定は 150。 他のモジュールにも影響されるが、mod_perl 組み込み時、子プロセス1つのメモリサイズが 20〜30MB 程度になる。 よって、同時接続数 150 までアクセスされると 3G から 4.5G メモリを喰うことになる。 そんなメモリねぇ〜www なので、スワップ・スワップ(SWAP x SWAP と書いてみたがヤな感じだった)。swap もオーバーしちゃったり。 対策: MaxClient
もっとApacheを知ろう:いまさら聞けない!? Web系開発者のためのサーバ知識(2)(1/3 ページ) 自動起動の設定 第1回「Webサーバから始めよう」で手順を追って設置した/etc/rc.d/init.d/httpdというApacheの制御スクリプトは、システム起動時におけるApacheの自動起動に利用できます。 今回は、Linuxのシステム起動時に各種のサーバプログラムを自動的に起動させる方法を、Apacheを例に紹介しておきましょう。 まず、/etc/rc.d/init.d/配下に、サーバ制御スクリプトを設置します。制御スクリプトの内容はサーバプログラムにより異なりますが、多くのパッケージではインストール時に自動で設置されるか、またはサンプルが提供されます。今回の例では、すでに紹介した手順で/etc/rc.d/init.d/httpdを設置済みです。 次に、/etc/rc.d/
Apacheのバージョン2.2.12以降では、SNI(Server Name Indication)という、SSLプロトコルに対する拡張機能がサポートされているため、名前ベースのHTTPサイトを設定する場合と同じように名前ベースのHTTPSサイトを設定することが可能になっている。本記事では、Apacheのこの機能について紹介する。 Apache Webサーバがバージョンアップし、成熟していくに伴い、新機能の追加やバグの修正が行われてきている。そして、バージョン2.2.12で追加された機能のうち、最も重要なものはおそらく、単一IPアドレス上で複数のSSLサイトを運用できるようにするという、長らく持ち望まれていた機能だろう。 これまでは、特定のIPアドレスに対してSSL対応のWebサイトを割り当てた場合、そのサイト1つしかSSL対応のWebサイトを運用することができなかった。つまり、IPアドレ
情報技術(アイティー)革命ではなくイット革命!IT化推進に役立つソフトウェアやWeb制作に関するネタを扱います。 Apache に付属しているベンチマークソフトを使ってみました。 Apacheには、標準で「ab」(Apache Bench) というツールが付属しています。 同時接続数とリクエスト数とURLを指定すれば、性能が測定できます。 ab コマンドによって、リクエストを発生させ、接続時間・処理時間・待ち時間などの統計を取得することができます。 例えば、同時接続数が 100で、リクエスト数 1,000 になるまで、http://example.com/index.html にアクセスするならば ab -n 1000 -c 100 http://example.com/index.html 認証が必要なページには、-A オプションを使用します。 -n 数値:テストで発行するリクエストの回
Apache JMeter は100% pure Java のデスクトップアプリケーションです。負荷テストの機能を持ち、パフオーマンスの測定の為に設計されました。最初はWebアプリケーションのテスト用に設計されましたが、他のテスト用に拡張されています。 これで何が出来るか? ファイル、Javaサーブレット、perlスクリプト、Javaオブジェクト、 データベースとクエリー、 FTPサーバなど、静的および動的なリソースに対してパフォーマンスをテストできます。サーバやネットワーク、オブジェクトに対して重い負荷をシミュレートすることも可能で、負荷タイプの違いによるトータルのパフォーマンスを分析できます。重い同時アクセス負荷状態でのサーブレット、スクリプト、オブジェクトのパフォーマンスをグラフィカルに分析できます。 JMeterの使い方 何をするものか Apache JMeter は以下の機能があ
Please note This document refers to the 2.0 version of Apache httpd, which is no longer maintained. Upgrade, and refer to the current version of httpd instead, documented at: Current release version of Apache HTTP Server documentationYou may follow this link to go to the current version of this document.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
