Apache HTTP Server 2.2.20 が リリースされました

Apachekiller対策として新しいバージョンのApacheがリリースされていました。以下は公式サイトからの引用になります。

Apache HTTP Server 2.2.20 が リリースされました

Range リクエストの処理に DoS 脆弱性があった問題等に対処した Apache HTTP Server 2.2.20 がリリースされました。いわゆる Apache Killer への対策となるものです。
これまでリリースされてきた Apache 1.3/2.x には Byte Range リクエストの処理に問題があり、条件によっては Apache HTTP Server および、それが稼働しているマシンが利用不能になるまで負荷が高まってしまう問題がありました。

mod_headers などを利用した仮の対応策が公開されていましたが、Apache HTTP Server の Byte Range の処理コードそのものに対策が施されましたので、この 2.2.20 や、OS、ディストリビューションから提供される新版に更新することをお勧めします。
Apache HTTP Server 2.2.20 での変更点は以下のとおりです。

  • Byte Range リクエストの問題 (CVE-2011-3192)
  • mod_authnz_ldap で、LDAP サーバーの constraint violation の応答をエラーではなく「認証に失敗」と扱うようにした。パスワード認証に何度も失敗してロックされた時、LDAP Server によっては constraint violation の応答を返してしまっていることへの対応です
  • mod_filter の FilterProvider で、resp= による条件が CGI では動作していなかった問題を修正した
  • mod_reqtimeout でタイムアウトした接続が request body を破棄した後で Keep-Alive 状態になってしまった問題を修正した
  • hook の並び替えを早い段階で実行するようにして、pre_config hook や設定ファイルの解析時には並び替えられた状態になっているようにした
  • mod_deflate において、HEAD リクエストで、Content-Length を決定できないような場合は圧縮処理をしないようにした

引用元:Apache HTTP Server 2.2.20 が リリースされました

過去の記事について

過去logwでは、Apacheのバージョンアップの記事を書きましたこのページで紹介しているApacheは2.2.19になります。最新はまだ反映されておりません。

Apache最新版の適用について

yumによるインストールはまだできないかもしれません。自己責任でrpmでインストールしているかたもいるそうですApache 2.2.20をtar.gzからrpmにしてインストールしてみたの巻アップデートする際は自己責任でお願いいたします

個人支援・寄付について

サイトラボではBuildreeの開発などのため、現在個人支援・寄付を受けております。ご協力いただける方はお願いいたします。当サイトではビットコインで受け付けております。

  • ビットコイン:3LHnADwZwUbic2L45EnVJEykiG6KfbqrwS