Apache HTTP Server 2.4.4 がリリースされました2013年02月26日

Apache HTTP Server 2.4.4 がリリースされました。セキュリティ上の修正、機能の追加、バグ修正などです。

  • mod_info などでのホスト名出力で XSS が発生する可能性があったのを修正
  • mod_proxy_manager の管理画面での XSS

の2件については CVE が割り当てられています。ほかに気になるところとしては、

  • SSLCompression ディレクティブが追加され、SSL で圧縮しないのがデフォルトとなった。

というのがあります。このディレクティブは SSL での圧縮を on/off するもので、導入のきっかけは負荷対策だったようです。しかし、SPDY への攻撃方法、さらには SSL への攻撃方法 (盗聴) として知られるようになった CRIME 攻撃への対処にもなります。この問題は 2.2 系にもあるので、まもなくリリースされるであろう 2.2.24 にも SSLCompression ディレクティブが追加されています。

他に気になるところとしては、

  • 2.4.3 のデフォルトの設定ファイルで IE 10 では DNT を無視するようになったが、それがコメントアウトされた
  • TLS-SRP という TLS の拡張機能が追加された。SSL/TLS レイヤでの認証はクライアント証明書による認証が一般的ですが、SRP (Secure Remote Password) ではあらかじめ共有されたパスワードと salt (から導出される値) を使って認証を行います
  • htpasswd や htdbm などの認証用データベースファイル管理系の大幅な書き換え。バッチ処理の際はパスワードを -b オプションで指定していましたが、それ以外に stdin から読み込むこともできるようになり、安全性がいくらか向上しています。また、crypt だけでなく、bcrypt も使えるようになりました
  • mod_proxy_manager での XML 出力機能強化(追加)

といったのがあります。詳細はこちらに CHANGES を訳したもの +α を掲載したので、ご覧下さい。今回の CHANGES の翻訳は CHANGES そのものだけでなく、ソースコードの変更履歴や、bugzilla のバグレポートへもリンクを追跡調査して張るようにしています。

コメント

コメントをどうぞ

※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。

※なお、送られたコメントはブログの管理者が確認するまで公開されません。

※投稿には管理者が設定した質問に答える必要があります。

名前:
メールアドレス:
URL:
次の質問に答えてください:


コメント:

トラックバック

このエントリのトラックバックURL: http://tkusano.asablo.jp/blog/2013/02/26/6730783/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。

<< 2013/02 >>
01 02
03 04 05 06 07 08 09
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28

RSS