Apache HTTP Serverに複数の脆弱性 49
ストーリー by hylom
重大ではないとはいえ気持ちは悪い 部門より
重大ではないとはいえ気持ちは悪い 部門より
あるAnonymous Coward 曰く、
Apache HTTP Serverに複数の脆弱性が発見された。この問題を修正したHTTP Server 2.4.33が公開されており、アップデートが推奨されている(JVNVU#95818180、窓の杜)。
タレコミ人の使うDebianではsid(開発ブランチ的位置付け)でさえまだ対策版が存在しない。影響範囲の大きいWebサーバーの脆弱性ですが、ディストリの対応を考慮せず公開してしまうという慣例はなんとかならんもんでしょうかね。
問題の脆弱性は、悪用することでDoS攻撃を可能にするものや、認証を回避される可能性があるといったもの。危険性はセッション改ざんのおそれがある「CVE-2018-1283」が「medium」で、残りはいずれも「low」となっている。なお、CHANGELOGなどではバージョン2.4.30でこれらが修正されたとなっているが、バージョン2.4.30~2.4.32は開発者向けのみにリリースされている。
手元サーバざっと確認 (スコア:1)
Debian Stretch。
モジュールの脆弱性でひっかかりそうなのが、デフォルトで有効になってたmod_cache_socachemcb(CVE-2018-1303)。
とりあえず無効にして、関係ありそうなところ(SSL)コメントアウト、でいけるかしら。
それ以外のモジュールは、デフォルトでは有効になってない(使ってもいない)。
HTTP/2(CVE-2018-1302)もやってない。
<FilesMatch>ディレクティブ(CVE-2017-15715)も使ってなかった。
唯一、CVE-2018-1301はとりあえずの対応策が見当たらない。あまりリスク高くなさそうだけど。
Re:手元サーバざっと確認 (スコア:1)
DebianだとCVE番号で確認できますね
security-tracker.debian.org/tracker/CVE-YYYY-*****
みたいな
今回のは以下の7つ
https://security-tracker.debian.org/tracker/CVE-2017-15710 [debian.org]
ttps://security-tracker.debian.org/tracker/CVE-2017-15715
tps://security-tracker.debian.org/tracker/CVE-2018-1283
ps://security-tracker.debian.org/tracker/CVE-2018-1301
s://security-tracker.debian.org/tracker/CVE-2018-1302
://security-tracker.debian.org/tracker/CVE-2018-1303
//security-tracker.debian.org/tracker/CVE-2018-1312
# スラドよ「同じ内容の繰り返しはダメですよ!」とか勘弁
Re: (スコア:0)
スラドでしか脆弱性情報をしいれていないので()ためになります
Re: (スコア:0)
キミが英語読めないのは仕方ないのにしても
サーバ管理しているんだったらスラド以外に定番のセキュリティホール memo [ryukoku.ac.jp]ぐらいは読もうよ
↑最近は政治系のゴミみたいな情報を要り交ぜてくれいるからSN比は下がってるけど
政治部分を読み飛ばせば日本語のセキュリティ情報サイトの中では一番よくまとまってるよ
Re:手元サーバざっと確認 (スコア:1)
セキュリティホール memo [ryukoku.ac.jp]より引用
[ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org]
(Apache, 2018.03.26)
announce@httpd.apache.org ML アーカイブで確認できる限りでは、 Apache HTTP Server 2.4.x の正式リリースは、[ANNOUNCE] Apache HTTP Server 2.4.29 Released [apache.org] の次が [ANNOUNCEMENT] Apache HTTP Server 2.4.33 Released [apache.org] のようで、2.4.30〜32 は飛ばされているようです。しかし https://www.apache.org/dist/httpd/ [apache.org] を見ると、httpd-2.4.32.tar.bz2 [apache.org] なんてファイルがふつうに存在するのですよね。 よくわからん。
それはともかく、 Apache HTTP Server 2.4.30 の段階で 7 件のセキュリティ欠陥が修正されているそうです。
low: Possible out of bound read in mod_cache_socache (CVE-2018-1303)。 2.4.6〜2.4.29 に影響。
low: Possible write of after free on HTTP/2 stream shutdown (CVE-2018-1302)。 2.4.17〜2.4.29 に影響。
low: Possible out of bound access after failure in reading the HTTP request (CVE-2018-1301)。 2.4.1〜2.4.29 に影響。
low: Weak Digest auth nonce generation in mod_auth_digest (CVE-2018-1312)。 2.4.1〜2.4.29 に影響。
low: bypass with a trailing newline in the file name (CVE-2017-15715)。 2.4.1〜2.4.29 に影響。
low: Out of bound write in mod_authnz_ldap when using too small Accept-Language values (CVE-2017-15710)。 2.4.1〜2.4.29 に影響。
medium: Tampering of mod_session data for CGI applications (CVE-2018-1283)。 2.4.1〜2.4.29 に影響。
それぞれの脆弱性の、
・重要度
・内容
・影響範囲のバージョン
・SVE番号
必要情報が過不足無くまとまっており一次情報へのリンクもある
情報公開のスピードもスラドより圧倒的に速い
ということでスラドでセキュリティ情報チェックするより役に立つ
Re: (スコア:0)
セキュリティホール memoは以前見てたけどサヨク臭がひどすぎてもう見てないよ
電波浴は10年くらい前に飽きて辞めてるし
見てほしいなら、お前の政治的主張なんか知らんからセキュリティ情報の提供に徹しろってことよ
Re:手元サーバざっと確認 (スコア:1)
>RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう
という割り切り方をするという選択肢もあるんですけどねえ。。。
Re: (スコア:0)
自分も見るの止めて久しいけど
RSS自体ロストテクノロジーだし
頭おかしい主張ばかりでSN比低すぎ
今は他にも情報源たくさんあるからね
Re:手元サーバざっと確認 (スコア:1)
オフトピ,-1
陳腐化して時代遅れで利用する価値がほとんどないという言い方ならまだしも
失わてもいないのにロストテクノロジーというのはちょっと違うのでは?
他にも情報源たくさんには同感だし便利なことだと思います。
Re: (スコア:0)
電波浴は10年くらい前に飽きて辞めてるし
見てほしいなら、お前の政治的主張なんか知らんからセキュリティ情報の提供に徹しろってことよ
そうなんだよねー。
サイトを継続的に更新するモチベーションを保つための方法として、
・自分の欲求を満たす(オナニーコンテンツを垂れ流したり自分の活動の宣言をしたりする)
・広告収入を得る(アフィやアドセンスを貼る)
の2つがあるわけだけど、前者はぶっちゃ広告よりうざいから最近では人気無いんだよね
それに広告はAdBlockerで一律ブロックできる分オナニーコンテンツより除去が容易
Re: (スコア:0)
セキュメモの政治ネタ叩くのやめたげてください><
中の人小島さんはスラドも愛読しているっぽいので、このコメントも恐らく目にすることになるだろうし
ショックで更新停止しちゃったらセキュメモを愛用している僕も悲しいです
Re: (スコア:0)
直接的な誹謗中傷ならともかく、スラドで「ネトウヨ」に批判される位なら平気なんじゃないの?
叩かれるのがどうしても嫌な人ならそもそも政治ネタを載せない(政治議論は匿名サイトでやる)んじゃね。
Re: (スコア:0)
Centos6 ですDeath!
とりあえずRedhatのお知らせ見る限り
中くらいの影響の CVE-2018-1283 は調査中となっているが、
2.2系でも2.4系からバックポートされてたりする事もある
のかな?
https://access.redhat.com/security/cve/cve-2018-1283 [redhat.com]
Re: (スコア:0)
訂正。 mod_cache_socachemcb も、デフォルトでは有効になってなかった(apache2 2.4.25-3+deb9u3)。
おそらくSSL化のときに有効にしていたらしい。
ディストリごとの対応状況 (スコア:1)
Fedora - 未対応(https://bugzilla.redhat.com/show_bug.cgi?id=1560396)
SuSE - 未対応(https://bugzilla.suse.com/show_bug.cgi?id=CVE-2018-1283)
Debian - 未対応(https://security-tracker.debian.org/tracker/CVE-2018-1283)
Ubuntu - 未対応(https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2018-1283.html)
Gentoo - 未対応(https://bugs.gentoo.org/show_bug.cgi?id=CVE-2018-1283)
RedHat - 調査中(https://access.redhat.com/security/cve/cve-2018-1283)
Arch - 対応済み(https://security.archlinux.org/AVG-664)
Re:ディストリごとの対応状況 (スコア:1)
君が使ってるのはArchのふりしたFedoraかCentあたりだな
Re: (スコア:0)
ば、ばれたか……!
なんで分かったんだ? お前はエスパーなのか?
Re: (スコア:0)
病院行け
頭のだぞ
Re:ディストリごとの対応状況 (スコア:1)
私は痴女だったの……
職場のむさいオッサンにもRHEL使わせたら痴女になるかな?
Re: (スコア:0)
アニメ化されると山登りもキャンプもゲーム制作ももれなく美少女になります
Re: (スコア:0)
Macは?ねえMacは?
Re: (スコア:0)
>Windows = ゲーム機の話はいましてませんよ^^
FreeBSDをディスるのはやめろ。
Re: (スコア:0)
OpenBSD使ってる私の立場は……
なお、OpenBSD + APP なシステムを運用してるけど
APP は ports のパッチを利用(fail する場合は手修正)した自前ビルド、
その他必要なライブラリやらなんやらは ports/packages を使用で
重要なものに限って自分でバージョン管理して負担軽減している。
Re: (スコア:0)
開発に3年とか5年とかかかる案件だと、10年以上サポートしてくれるOS(RHEL/CentOS/Windows)しか
選択肢にすら上がらないんだけど、どういう理由でレベルが低いの?
あと、開発者、運用者全員ネイティブで揃えられるの?
日本語情報も多いほうが良くね?
Re: (スコア:0)
開発に3年も5年もかける技術力のなさ>レベルが低い
Re: (スコア:0)
ひぇぇ。
小さいのしかやったことない人かなw
Re: (スコア:0)
日本語情報はともかくサポート期間が長い事はそれだけで価値が高いだろう。
お前は何を言ってるんだ?
Linux はソースビルドしない限り危険、Windows Server を使おう (スコア:1)
こう書くとマイナスモデされそうですが、ボランティアが減ってるせいなのか最近のdistributionの脆弱性対応の早さには問題があり、本家のupdateがpackage management systemに反映されるまで1~2か月かかるのが当たり前だったりします
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが、そういうサーバは1か月以上も0 day同然の状態に晒されているわけ
毎日脆弱性情報チェックして手動でソースビルドできない人は素直にWindows Server使った方が安全ですよ
Windows ServerはLinux Serverより危険だというのは過去の話で今は逆転しています
ライセンス料の観点からLinuxが流行ってるだけの事です
Re: (スコア:0)
毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
書いたやつのレベルの低さが良くわかる一文。
俺の周りの世界だとまったく一般的じゃないどころか見たことすらない。
Re:Linux はソースビルドしない限り危険、Windows Server を使おう (スコア:1)
そうだよね。
単なるパッチでもシステムに影響出てくることがあるから、まずはステージング環境に適用してテスト工程を経てからじゃないと本番環境には当てられないわ。
毎日自動処理で好き勝手にパッチ当てられるとか、2~3日ダウンしても問題無いような低レベルなサーバなんだろうな。
Re: (スコア:0)
どんなに早くても商用環境だと
水曜:パッチリリース確認、直近のイメージBKから環境構築、検証
木曜:顧客報告
金曜:顧客が作業承認
土日:パッチ適用
とかになるからね
ぶっちゃけ0DAY対応どころか2~3日は空くっていうね
顧客定例が月一だから早くても来週末に対応だーとかの方が多そう
典型的な駄目日本人社会の縮図って感じ (スコア:0)
Java脆弱性問題での徳丸 浩の発言より
https://twitter.com/ockeghem/status/841513670555312128 [twitter.com]
> 3年ほど前から、「パッチ適用による副作用を検証していたのでは間にあわない」とセミナー等では言い続けていたのですが、恐れていたことが現実になりました。切り戻し手段を確保しておいていきなりパッチ適用するとかしないと間に合わない
シス管個人の問題じゃどうにもならんけど
重要なセキュリティパッチについてはパッチリリース確認したら検証せずにただちに当てないと間に合わない
GMOのシステムでもパッチ検証している間に脆弱性突かれて個人情報漏えいというパターンが常習化しているしな
Re: (スコア:0)
検証なしでパッチ当ててサービスが止まった時、すぐロールバックすれば客から責任追及されないなら、いくらでもそうするんですがね。
まあ、客は客で、ビジネス相手や末端利用者に同じことを思ってるでしょうが。世の中全体が「安全のためならサービス停止や不便を許容する」ようにならないと無理でしょうね。
Re: (スコア:0)
でも最近のアメリカ資本系は検証なしで適用してるっぽいんだけどね。
SpectreMeltdownで即日対応してたAWSやAzureとか・・・。
その後でインテルのバグが見つかってるけど切り戻しもせずにそのままだったし。
Re: (スコア:0)
検証している間にサーバーが乗っ取られたらそういう怠惰なサーバー屋の責任にしていかなければダメということですね。
Re: (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
Re: (スコア:0)
Spectre/Meltdownは関係各所には事前に通知されてたから検証は公開前に済ませてたんじゃないの?
そうです検証どおり本番でも落ちたので問題ありますん
Re: (スコア:0)
サーバ落ちてもセキュリティリスク回避を取った形なので日本企業ではあり得ない「判断」だよね。
情報リークが想定外のタイミングだったので検証不十分なままで見切り発車した感はあるんだけど。
向こうの国だと「パッチ出てるのに対応しなかった」は訴訟の対象になるけど、
「最悪の事態回避への努力の結果」だったら問題ないってことかな。
Re: (スコア:0)
単なるパッチでトラブルなるような俺様仕様テンコ盛りな構成やクソ実装アプリ作るような低レベルなシステム管理者や開発者じゃないので(^^
警戒したのはこないだのメルトダウン位だねー。
Re: (スコア:0)
単なるパッチでWindows/Linux自体起動しなくなることもあるのに何言ってんだこいつ?
Re: (スコア:0)
時々起きる程度のモノの為に常時遅れるとか何言ってるんだコイツは?
大体ダメだったら即時当てる前のに戻せるばいいし。待機系くらいあるでしょ。
Re: (スコア:0)
「ライセンス料無料=金がかからない」って考えてる人は今でもいるもんね
全て自己責任になるからこそ保守に相応のコストをかけなきゃいけないのに
Windowsと違ってLinuxは安全だとか言って10年前から塩漬けの鯖が現役だったり
ソースビルドなんて危険だ (スコア:0)
そうだ
本家のupdate担当になれば幸せになれるんだ
Re: (スコア:0)
> 毎日cronでyum update回してますからセキュリティはばっちりです^^ なんていうシス管が一般的ですが
は?そんな意識高い系のシス管なんて日本にはほとんどいないぞ。
デフォルトで有効になってる自動更新をわざわざ無効にするシス管ならいっぱいいるが。
「我が社のシステムに不具合が出るリスクと侵入されるリスクを比較検討した結果、アップデートしないことに決定しました」
「検証工数は誰が出すんですか?検証コストは侵入リスクに見合っているんですか?」
「前任者からの引き継ぎですが手順書にアップデートが記載されていないので対応できません」
Re: (スコア:0)
1〜2ヶ月もかかるっていうのは、CentOSですら見かけないように思うのですが、どこかにソースありますかね?
Windowsの場合は純正部分以外が放置されてることが多すぎてなw
Re: (スコア:0)
WindowsはWindowsで
更新がクソ長い上にブラウザの脆弱性ごときで再起動を要求される
.NET Frameworkの更新は環境によっては2時間以上かかる
基本1ヶ月おきにしか更新が降ってこない
実際に攻撃されている状況でも緊急パッチをなかなか提供してくれない
LDRの提供にも本社との相談が必要で2wはかかった
更新されるのは純正製品のみで3rdのソフトウェアは置いてけぼり
MS製品以外の更新がされていないことが多いというか殆ど。
ドライバーは脆弱性があっても放置されていることが多い
パッチ管理についてはデストリビューション未満
これとは別にアプリケーションの検証はどうしても必要になるので
WindowsだろうがLinuxだろうが、WAFやIPSなどを
組み合わせざるを得ないんじゃないかな
脆弱性があるから運用に金が落ちる (スコア:0)
とか言ってはいけないかな。。
おいしい仕事になるかどうかは知らないが、どんどん出る脆弱性をチェックする仕事が存在することは確かだ。
私はその仕事をしてないが、脆弱性調べるのって面白いのかな。。