ネットワーク
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Apache-based Web Serverセキュリティホール対応方法

T_Kiu
時折のビジター

Apache-based Web Serverセキュリティホール対応方法

HP-UXユーザになりたてでフォーラム投稿先のカテゴリがここで良いかも判断つかないでの

投稿ですがよろしくお願い致します。

HP-UX 11.11でWEBシステムを構築しようとしております。

2005/8月末、HP上で公開されている最新のWeb Server Suiteとしての

Apache-based Web Server 2.0.54

Tomcat-based Servlet Engine 5.5.9.00

にて構築したところ、

この組み合わせでは、Apache+Tomcat連携がうまく動作しませんでした。

HP上でも動作保障されていないようなのでTomcatを4.1.29.06に下げる事にしました。

この組み合わせでは、連携もうまく動作しました。

その後、セキュリティホール(CAN-2005-2700)が発覚しました。

mod_ssl の SSLVerifyClient にアクセス制御を回避される問題

http://sid.softek.co.jp/loPrint.html?htmlid=4195

これは、hpuxwsAPACHE A.2.0.54.02にて回避可能です。

しかしCAN-2005-2491

PCRE ライブラリに任意のコードを実行される問題

http://sid.softek.co.jp/loPrint.html?htmlid=4162

の回避方法は、Apache2.0.55へのVerUPとなっているのですが

HP上では、まだこのバイナリは、発表されておりません。

質問1.2.0.54で、セキュリティホールになるかならないかの判別方法?

質問2.2.0.54では、セキュリティホールにならないのでしょうか?

質問3.2.0.54でも、セキュリティホールになる場合、その回避方法?

(Apache2.0.55ソースのリビルド以外)

以上、ご存知の方がいらっしゃいましたらご教授下さい。

尚、回答を公開すると問題が生じる可能性がある場合、個別連絡が可能であれば

その旨お知らせ下さい。