第8日目:久しぶりにApacheで新バージョン(httpd 2.0.65 & httpd 2.2.25) がリリースされてました。

メールだけで簡単お申込みのレンタルサーバー!

ども、ども、▲(‘A`)/です。
猛暑で厳しい中如何お過ごしでしょうか?
札幌も例年以上に暑くなっていてます。

さて、先週末(7/18)にApache Struts2の脆弱性についてのニュースが流れていました。
参考までにJPCERTのページを該当ページを紹介しますね。
http://www.jpcert.or.jp/at/2013/at130033.html
えーと、▲(‘A`)はJavaについては詳しくないのでうまく説明できませんが
Apacheのプロジェクトが開発した「JavaベースのWebアプリケーション
フレームワーク」なんだそうです。Webアプリケーションフレームワークとは
Webベースで処理(アクション)とか結果を動的に生成・提供する仕組みと
考えて下さい。例えば掲示板サービスなんて動的サービスだしWebで
入力・出力とか処理とかしていますよね。そんなものです。
最近だとスマートフォンでのサービスが増えていますが、そういうのの
中にもJavaを使って仕組みを作っていたりします。で、その仕組みを
Webサーバ上で動かすのにこれを利用している場合もあります。

で、これの回避方法としては最新バージョンにアップデートする、
という事だそうです。下記のページから入手できます。
http://struts.apache.org/
最新バージョンは 2.3.15.1 となります。

で、ちょっと気になったので久しぶりにApacheの本家サイトを
覗いてみたら、Apacheの新バージョンがリリースされていました。
2.0系が 2.0.65 、 2.2系が 2.2.15 となります。
ダウンロードは下記のページからどうぞ。
http://httpd.apache.org/download.cgi

しかし、ApacheのバージョンアップってPHPみたいに頻度は
それほど多くないので、ちょっとビックリです。
まあ、今回のバージョンアップは脆弱性解消の為ですから
必要なんですけど、ね。
脆弱性の中身は以下の2つです。
・mod_davの不具合(セグメンテーションフォールトの発生)
・mod_rewriteの不具合(不適切な文字列のログ出力)
1つ目は処理の途中でセグメンテーションフォールト(プログラムが
アクセスを禁じられているメモリ領域にアクセスしようとしてしまう事)が
起きて処理が異常終了(大抵こんな場合には Signal 11 が記録されます)に
なります。
2つ目はたいした事無い様に見えますが、不正なコマンドなどを
文字列として送り込まれてログ出力されると、コマンドが実行
されてしまうというなかなか怖い状況になったりするのです、ハイ。

Apacheの2.0系も2.2系も実は古いバージョンだったりします。
Apache本家は2.4系を推奨していたりしますが、ユーザが望む
環境がこのバージョンだとできなかったりします。
例としてはmod_perlはまだ2.4系だと動かない(構築できない)と
いうのがあります。
なので、どのバージョンを使うのか、とか新しいバージョンに
単純にアップデートして問題ないかは各自の環境をもう一度
見直して必要ならテスト環境を用意してリハーサルしてから
対処した方が良いでしょう。

さて、今週はハローワークとか病院に出かけたりと出歩く機会が
多かったりしますが、熱中症にならない様に気をつけます、ハイ。
それでは、また!▲(‘A`)/