[CentOS-devel] CVE-2011-3192 rpms for CentOS 5 still pending?
[CentOS-devel] CVE-2011-3192 rpms for CentOS 5 still pending? dfrg.msc dfrg.msc at gmail.com Wed Sep 7 04:20:11 UTC 2011 Previous message: [CentOS-devel] Does CentOS 6 udev rule format diff from CentOS 5? Next message: [CentOS-devel] CVE-2011-3192 rpms for CentOS 5 still pending? Messages sorted by: [ date ] [ thread ] [ subject ] [ author ] According to the CentOS-CR-Announce list, there is recen
JVNDB-2011-002172 - JVN iPedia - 脆弱性対策情報データベース
CVSS v2 による深刻度 基本値: 7.8 (危険) [NVD値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 低 攻撃前の認証要否: 不要 機密性への影響(C): なし 完全性への影響(I): なし 可用性への影響(A): 全面的 Apache Software Foundation Apache HTTP Server 1.3 系 Apache HTTP Server 2.x 系 IBM IBM HTTP Server 1.3 IBM HTTP Server 2.0 IBM HTTP Server 6.0 IBM HTTP Server 6.1 IBM HTTP Server 7.0 IBM HTTP Server 8.0 アップル Apple Mac OS X v10.6.8 Apple Mac OS X v10.7 および v10.7.1 Apple Mac OS X Se
Apache killerは危険~Apache killerを評価する上での注意~
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
Apache Killer (CVE-2011-3192) 対策 for CentOS 5.6
検証 Exploit Code は Apache Killer (killapache.pl) よりも apachepartial.pl のほうが Perl モジュール Parallel::ForkManager の追加が要らないので楽ちん。 Usage: ./apachepartial.pl <host> [path] [parallel reqs] [loops] [port] perl apachepartial.pl pooh.gr.jp /robots.txt 60 0 80 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 path で指定するコンテンツを 1300 バイト以上にすると効果的になる。robots.txt はちっさいので攻撃効果が低くなったみたい。 対策を実行したら、まずサービスに影響がないかを確認する。そ
CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x - LowPriority
数日前からFull Disclosureで騒がれてたけどやっとCVE採番されたので。 以前のISC BINDの脆弱性(CVE-2011-1910)とかに比べるとzero-day状態に なったにも関わらずApache側の動きが遅い気もします。(表に見えてなかっただけ?) アドバイザリは以下 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x http://mail-archives.apache.org/mod_mbox/httpd-announce/201108.mbox/raw/%[email protected]%3E/ DoSだけといってしまえばそれまでですが、Apache HTTPDでは久しぶりに 現時点で出ている全バージョンが対象 (2011/
名無しのVIP : 2ch鯖落ち 今回の犯人はこいつらwwwwwwwwwwwwww
2011年08月26日03:03 2ch鯖落ち 今回の犯人はこいつらwwwwwwwwwwwwww 1:以下、名無しにかわりましてVIPがお送りします:2011/08/26(金) 02:31:36.65 ID:VVfWsJbN0 コピペだがこれが原因 らしい 今回は韓国じゃなくて2ch運用の馬鹿が原因 Apache Web Serverに未解決の脆弱性が存在し、この脆弱性を突いた攻撃が横行しているとして、 Apache Software Foundationが8月24日付(米国時間)のアドバイザリーで注意を促した。 アドバイザリーによると、ApacheでRangeリクエストを処理する方法にサービス妨害(DoS)の脆弱性が存在する。 影響を受けるのはApache 1.3とApache 2の全バージョン。脆弱性を突いてリモートから攻撃を受けると、大量のメモリとCPUが消費されてしまう恐れがある。
第三回ウェブサーバ勉強会で話してきました | Carpe Diem
Archives January 2017 (1) December 2016 (2) October 2016 (2) August 2016 (2) June 2016 (3) May 2016 (3) February 2016 (3) January 2016 (6) December 2015 (4) November 2015 (1) July 2015 (1) December 2014 (4) November 2014 (1) October 2014 (2) August 2014 (1) July 2014 (1) June 2014 (2) April 2014 (4) February 2014 (3) January 2014 (1) December 2013 (2) September 2013 (1) August 2013 (3) July 2013 (
Apacheメモ VirtualHost利用時のデフォルトエラードキュメント | マンダリンケーキのレシピ
一定期間更新がないため広告を表示しています
Apache module mod_mime
Module mod_mime This module provides for determining the types of files from the filename and for association of handlers with files. Status: Base Source File: mod_mime.c Module Identifier: mime_module Summary This module is used to determine various bits of "meta information" about documents. This information relates to the content of the document and is returned to the browser or used in content
If you are a user of the Apache hosted JIRA, Bugzilla, or Confluence, a hashed copy of your password has been compromised.
Posted on: 2010-04-13 05:04:50+00:00 Apache.org services recently suffered a direct, targeted attack against our infrastructure, specifically the server hosting our issue-tracking software. The Apache Software Foundation uses a donated instance of Atlassian JIRA as an issue tracker for our projects. Among other projects, the ASF Infrastructure Team uses it to track issues and requests. Our JIRA in
Apache狙いの攻撃発生、パスワード流出の恐れも
バグトラッキングソフトをホスティングしているサーバが攻撃を受け、JIRA、Bugzilla、Confluenceのユーザーのパスワードが流出した恐れがあるという。 Apache Software Foundationは4月13日、バグトラッキングソフト「JIRA」をホスティングしているサーバが攻撃を受けたとブログで発表した。この攻撃により、ApacheでホスティングしているJIRA、Bugzilla、Confluenceのユーザーのハッシュ化されたパスワードが流出した恐れがあると警告した。 Apacheによれば、攻撃には短縮URLサービスのTinyURLを使ってクロスサイトスクリプティング(XSS)攻撃コードを仕込んだURLへリダイレクトする手口が使われたという。Apacheの管理者数人がこのリンクをクリックしてしまい、JIRA管理権限を含むセッションに侵入された。 さらにXSS攻撃と並行
Apache 2.3/2.4系に実装中の新機能をちょっと先取りして見てみよう : DSAS開発者の部屋
(追記: 続編をupしました。設定例と動作検証を行っています。→こちらへどうぞ) Apacheといえば、Webサービスを構築する上でだいたいどこかで必ずお世話になるであろう、HTTPサーバのデファクトスタンダードとして幅広く定着したソフトウェアだと思います。KLabでも各所で運用してお世話になっています。 現在、バージョンは2.2系が安定版(stable branch)となっておりますが、開発版である2.3系が既に並行して公開されているのをご存知でしょうか。新しい機能や技術を取り入れて行く為に2.2系との間の互換性を時に犠牲にしつつ、様々なチャレンジが行われているわけです。将来的にはこのバージョンが2.4系となって新しい安定版として提供されることになるでしょう。 このDSASブログでも、Apache 2.3系で取り組まれている新しい機能について着目し、面白そうなものを一つずつ取り上げながら
Debian etchでSSL - よしだメモ
Debian etchのapache2.2-commonにはapache2-ssl-certificateが入っていないのでOpenSSLで自力で作る # vi /etc/ssl/openssl.cnf [usr_cert]セクションのnsCertType=serverのコメントアウトを外す [v3_ca]セクションのnsCertType=sslCA,emailCAのコメントアウトを外す # cd /usr/lib/ssl/misc/ # ./CA.sh -newca いろいろ質問されるので答える CA certificate filename (or enter to create) // ブランクのままEnter Enter PEM pass phrase: //適当に Verifying - Enter PEM pass phrase: //確認 Country Name (2 le
Apacheでの、パスフレーズ入力なしでの起動方法 | GMOグローバルサイン サポート
セキュリティ上はパスフレーズつきの鍵をお勧めしますが、以下の手順で解除することが可能なようです。 ※Apache等フリーウエアのご利用はお客様の責任においてご利用、ご確認ください。 パスフレーズなしで鍵を生成する場合 通常の作成方法 # openssl genrsa -des3 -out ./ssl.key/xxxxxxx.key 2048 ※「-des3」は、des3アルゴリズムのパスワード保護するという意味です。 パスワードなしの作成方法 # openssl genrsa -out ./ssl.key/xxxxxxx.key 2048 パスフレーズを後から解除する場合 元ファイルのバックアップ # cp xxxxxxx.key xxxxxxx.key.org パスフレーズの解除 # openssl rsa -in xxxxxxx.key -out xxxxxxx.key パスフレーズを
Perl Tips | Ubuntu 9.04 で、Apache2 の SSL を有効にする(オレオレ証明の設定方法)。
手順としては次の通り。 openssl をインストール。 # sudo apt-get install openssl 秘密鍵を作る(仮に server.key としよう)。 # sudo openssl genrsa -out server.key 4096 (パスワードなしの場合、2048 バイトのキーは弱すぎて証明書としてはもはや無効) # sudo openssl genrsa -des3 -out server.key 4096(パスワードありの場合、2048 バイトのキーは弱すぎて証明書としてはもはや無効) 公開鍵を作る(server.csr としよう)。 # sudo openssl req -new -key server.key -out server.csr 署名付の証明書を作る(server.crt としよう。有効期間はオレオレなので 10年くらいでいいだろう^^;)
VPSサーバにApacheをセットアップ
2008-10-07 少し時間ができたので、こないだ借りた CPI の VPS サーバに Apache をセットアップした。 Apache はデフォルトで起動しているけど、このままでは1つのドメインしか収容できない。 まずは、複数のドメインで使い分けることができるようにする。 バージョン管理用に Mercurial をインストール 設定ファイルを楽にバージョン管理したいので、 fedoraのサイトから Mercurial のバイナリをダウンロードしてインストールした。 $ sudo rpm -i mercurial-0.9.1-1.fc5.i386.rpm Apache の設定ファイルディレクトリに移動して、Mercurialの管理下へ置く。 $ cd /etc/httpd/conf $ sudo hg init $ sudo hg addremove $ sudo hg commit 設
Apacheのmod_proxy_balancerを使うときはretryを設定すべき - 射撃しつつ前転
今作っているサービスは、Apacheのmod_proxy_balancerを使ってロードバランシングしている。しかし、バックエンドのサービスサーバを一旦落としてから復帰させると、コネクションがしばらくつながらないという問題に悩んでいた。1分ぐらい放置するとつながるようになるんだけど、1分は結構長い。 よくわからないのでソースを読んでみたところ、mod_proxy_balancer.cを眺めた感じ、ap_proxy_retry_workerという関数がコネクションの再確立をしているのではないかと思えた。しかし、関数の定義を眺めてみると、現在時刻がエラー発生時刻とworker->retryを足した数字よりも大きければworkerのstatusからPROXY_WORKER_IN_ERRORのビットを下ろしているだけで、コネクションの確立がどうのこうのなんて関数はまったく呼ばれてない。ここでなにが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Some Monday security updates
"Apache Killer"(CVE-2011-3192) Checker by yamagata21
Site Under Maintenance