Apache HTTP Server 2.0.65 と 2.2.25 がリリースされました ― 2013年07月26日
Apache HTTP Server 2.0.65 がリリースされました
http://www.apache.jp/news/apache-http-server-2.0.65-released
Apache HTTP Server 2.2.25 がリリースされました
http://www.apache.jp/news/apache-http-server-2.2.25-released
ところで、2.0.65 で修正された CVE-2012-0053 について調べてみるとなかなか面白いです。「**** 0day exploit」てな応用技が公開されていて興味深いものがあります。
Apache HTTP Server の 2.0 シリーズのメンテナンスは終了しました ― 2013年07月14日
Apache HTTP Server 2.0.65 Released というアナウンスが出ましたが、Apache HTTP Server 2.0.65 がリリースされました。このアナウンスには
the final 2.0 release version 2.0.65 of the Apache HTTP Server ("Apache")
とあり、2.0 シリーズは 2.0.65 で最後のリリースであるとする一文があります。
また、httpd.apache.org の 2.0 シリーズのドキュメント には冒頭に 2.0 はもはやメンテナンスされてないことが表示されるようになりました。
Apache HTTP Server 2.0 を使っているのであれば、2.4 への移行を進めましょう。
ドキュメントを翻訳せねば……
Apache HTTP Server 2.4.4 がリリースされました ― 2013年02月26日
Apache HTTP Server 2.4.4 がリリースされました。セキュリティ上の修正、機能の追加、バグ修正などです。
- mod_info などでのホスト名出力で XSS が発生する可能性があったのを修正
- mod_proxy_manager の管理画面での XSS
の2件については CVE が割り当てられています。ほかに気になるところとしては、
- SSLCompression ディレクティブが追加され、SSL で圧縮しないのがデフォルトとなった。
というのがあります。このディレクティブは SSL での圧縮を on/off するもので、導入のきっかけは負荷対策だったようです。しかし、SPDY への攻撃方法、さらには SSL への攻撃方法 (盗聴) として知られるようになった CRIME 攻撃への対処にもなります。この問題は 2.2 系にもあるので、まもなくリリースされるであろう 2.2.24 にも SSLCompression ディレクティブが追加されています。
他に気になるところとしては、
- 2.4.3 のデフォルトの設定ファイルで IE 10 では DNT を無視するようになったが、それがコメントアウトされた
- TLS-SRP という TLS の拡張機能が追加された。SSL/TLS レイヤでの認証はクライアント証明書による認証が一般的ですが、SRP (Secure Remote Password) ではあらかじめ共有されたパスワードと salt (から導出される値) を使って認証を行います
- htpasswd や htdbm などの認証用データベースファイル管理系の大幅な書き換え。バッチ処理の際はパスワードを -b オプションで指定していましたが、それ以外に stdin から読み込むこともできるようになり、安全性がいくらか向上しています。また、crypt だけでなく、bcrypt も使えるようになりました
- mod_proxy_manager での XML 出力機能強化(追加)
といったのがあります。詳細はこちらに CHANGES を訳したもの +α を掲載したので、ご覧下さい。今回の CHANGES の翻訳は CHANGES そのものだけでなく、ソースコードの変更履歴や、bugzilla のバグレポートへもリンクを追跡調査して張るようにしています。
最近のコメント