【ネット】Webサーバソフト「Apache」にセキュリティホール発覚、開発元が緊急対応中

　人気の高いオープンソースWebサーバソフト「Apache」に新たな問題点が見つかった。

　Apache Software Foundationによると、デフォルトで有効になっている機能にサービス
拒否（DoS）攻撃に対する脆弱性が存在することが分かった。影響を受けるのは1.3.24
までのApache 1.3全バージョンと、2.0.36までのApache 2の全バージョン。

　現在この問題に対処した新バージョンの開発が進められている。新バージョンの案内
はApache HTTP Server Project（httpd.apache.org）のページに掲載される。

　Apache Software Foundationが6月17日に発行したアドバイザリーには、「ISS（という
会社）から17日、問題点を公表したという報告を受け、アドバイザリーの早期リリースを
迫られた」とある。また「ISS発行のパッチではこの問題は訂正できない」と注意を促して
いる。
(以上、2002年6月18日のZDNet JAPANより一部引用―全文は引用元を参照)

引用元: http://www.zdnet.co.jp/news/0206/18/nebt_20.html

影響が大きいため、N+に立てます。
現在激しい勢いで開発元のCVSが更新されている模様。
正式パッチは本日深夜(日本時間)あたりか。

1000

２yeah

　　　　　　　　　　　　__,,.-‐''''''''''''''''''''ー:-､_
　　　　　　　　　　,,.-'";:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:;:~｀ヽ:､_
　　　　　　　　 ,／;:;:;:;;:-'"~~''ヾ／~~~'''''--､;:;:;;:;:;:;;:＼
　　　　　　　 ／;:;:;:-'"　　　　　　　　　　　　`ヾ;:;:;:;:;:;;ヽ、
　　　　　　／;:;:彡　　　　　　　　　　　　　　　　ヾ;:;:;:;:;:;;:ヽ
　　　　　/;;::;:三　　　　　　　　　　　　　　　　　　i;:;:ミ;:;:;:;::ヽ
　　　　 ,i";:;:彡　　　　　　　　　- ''　　　- 　､.　 ヾ;:;:;:;:;:;:;:;:;i
　　　　 /;:;;:;彡　　　　　　　　　,,...:-'"　　,,,.....　　 ミ;:;:＼;:;:ﾐ|
　　　　/;:;:;:;:;:彡　　　　- ' ''""　　　- ''"　　　　　 ミ;;;;;;;;ヾ;;;;|
　　　　i!;:;/;:;:;彡　　　　　　　　　　　　 ,,;;;;;;;!!!!!:､　　ヽ､;:;:;:;;::､
　　　　 !i;:;:;:;:;:;:;|　,,;;;!!!!;;;;::::　 :::.　 　　'""　＿　　　ノ i　 /　 |
　　　　　ヾ;:彡/　　　　　_ _ 　:::　　::::　,,.ィゝ-''ヽー　' ヾ/ゝ　|
　　　　　　!;:;:;:|　ゝ_,.-''"ゞ-'ゝ,;:　　::::;:;:;::ー＝ '"　　　　:::ノ　|
　　　　　　 i､/　,.-‐＞ゝ: : ' "　　　::::;:;:;:　　　　　　:　:　:;　 /
　　　　　　 :|　　　　　　　　..:/　　　:::: '⌒ヽ　　　　　　　;::‐'
　　　　　　　ゝ､　　　　..:::::　ゝ - ､　 ,:-‐-'　｀ヽ､　　..　　:|
　　　　　　　 　 i　　　::::／::　　　 `''''　　　　　　 i::::　　　 |
　　　　　　　　　ヽ　　　!::::　__,,,..::;;;;;;;;;;;::::‐-っｰ　　　　　 ,!
　　　　　 　 　 　 ヽ　　`:::　`ｰゞＬ:Ｌ:Ｌ:Ｌl.-'~ノ　　.::　　 / 　　
　　　　　　　　　　 ＼　　`　　`ー-､二二,.:''　　 .::　　,ｨ"
　　　　　　,,...--;'''"";:ヾ,　:..　　　　　　　　　　　,;:　／
　　　,..:-'"　　　　　　　　ー:､　　.....,,,,,,....　　　 ,.::'"　ムネオです。逮捕される前に予約しなきゃと焦っています
あずきちゃんDVDBOX　予約6/19締めきり!　キングレコードより品番KIBA-9761〜9775
http://www.starchild.co.jp/special/azuki/index.html
関連ファンサイト
http://azuki.ichigo.cx/

ふーむ。よく分からん。

あーうちの鯖Apache/1.3.24だ。
でも、面倒だからいいや。
攻撃された方が楽しそう。

僕の肛門もセキュリティホールです。

7━━（ﾟДﾟ;)━━！

DoS攻撃なら別にいいや。

>>7
でた！肛門ネタ

>>4 >>4 >>4 >>4 >>4
>>4 >>4 >>4 >>4 >>4
>>4 >>4 >>4 >>4 >>4
>>4 >>4 >>4 >>4 >>4

セキュリティ板、通信技術板、Ｌｉｎｕｘ板あたりを見てきたけど
全然話題になってないなぁ。
まあサービスおとされるくらいならほっておいてもいいけどさ。

ま、たいした穴じゃない。

自分でふさぎました。たいしたものじゃないよ。

管理人２年目だが、その俺でも埋められる程
度のもの。DoSはいろいろやり方があるから、
一概にどのサーバーソフトでも起こりうる問題
の一つにすぎない。

>>13
ZDNetだけでは詳細分からんのだけど、どんなのだった？

真・スレッドストッパー。。。（￣ー￣）ﾆﾔﾘｯ

（´Д｀）？

>>15
test

>>15の父親はオカマ

>>16
>>17

何でお前そんなに馬鹿なの？
こんなん簡単に偽者だって分かるでしょ？
どうしたらそこまで馬鹿になれるの？

教えて！

ま、たいした穴じゃない。

これがM$関連だと祭りになるが

64bitなプラットフォームのほうが事態は深刻みたいね。

>>13
パッチきぼーん。

>>22
直接直してしまったから、パッチつくれといわれても
ちょっとめんどい。

またサーバー止めるわけにもいかないし。

すぐにでるよ。パッチは。

流石A Patch

あ、パッチ

>>23
何をやったかだけでもきぼーん。

>>23
んじゃ、直す前のソースとdiffとってそれはっつけて。
そんならサーバ止めなくていいでしょ？

なにー？ﾏｼﾞかい。鯖缶に連絡だぁ（もう知ってるかな）

ここに詳細をかくと、それこそｽｰﾊﾟｰﾊｶｰの餌食になる罠。
大体が穴をふさいでしまうまで手の内を見せてはいけないのよ。

>>16
IDｶｺｲｲ!!

>>29
すーぱーくらっかぁならそれぐらい発見してるでしょ。

>>31
にわかﾊｶｰも増殖するっしょ。

　　　　｜
　　　　｜
　　　　｜　　　　　　　　　　＿＿_ ＿＿＿＿＿
　　　　｜　　　　　　　　　 |｜＼　　 ＼　. |◎ |
　　　　｜　　　　　　　　　 |｜　　|￣￣| 　|：[].|
　　　　｜　　　　　　　　　│|　／￣￣/　 | ＝|
　　　　｜　　　　　　|二二二」二二二二二二二二」
　　　　｜　　　　　　　　|　||　　　　 .　　　 |　||
⊂⌒~⊃;ﾟДﾟ）⊃.　 　.／ .|| 　 　 　.　　／ 　||
＿＿＿＿＿＿＿＿[＿___||＿＿＿＿［＿＿||＿＿＿＿

>>32
あほくらっかーはツールつかうだろうし、優秀くらっかーは自分でツールつくるだろ。

にかわくらっか−ですがなにか？

>>34
というか、２ちゃんの鯖もApacheなんだからここに症状とかをかくのは
マズいと思うんだけど・・・・・・

>>36
だから、ちょんは穴の場所聞いたってなにもできないんじゃない？
優秀は聞かなくたって自分で発見してるだろ...
# ちなみに俺はこれから探す予定...

でも、ここに晒すのはまずいか...
>>23
やっぱいいです。
スマソ

本家/.では昨日あたりから盛り上がってるんですけどね・・・・・

ですね....

MS Updete で修復できる？

もちろんですとも！
ただ、わが社の鯖に乗り換えていただく必要がございますが

>>41
なんか、スペル間違ってるし。

>>43
>>41 は間違ってないんだよ　きっと
MS Updete なら修復できるんだよ　きっと
いいなぁ >>41

>>21
今回の事件、32bit と 64bit との差異はどこにあるの？

DoSに対する脆弱性なら別に急いで対処する必要はねーな。
ダウンしたら致命的なサーバーなんて管理してないし :-)
つーかこれくらいでいちいちニュー速+にスレ立てるなよ。
この程度の情報まで2chに頼るサーバー管理者は失格だろ。

>>35
にかわｶﾖｯ!

やべ、内の会社、サーバー、NetBSDなんだけども。
明日、設定変えなくては…。
また、仕事が増えるのか…。
サカーは負ける氏で、欝だ。

WebサーバでApacheの占めるシェアはどれくらいなんだろうか？
かくいう自分も使ってるんだけど。

やっぱりオープンソースのソフトウェアは品質が悪く脆弱ですね。

>49
宝石でいうところのアメジストくらいじゃないかな。

>>51
よくわからんな。そばつゆで言うところの大久くらいじゃないか？

自分の管理してるサイトは、DoS攻撃に晒されるサイトじゃないから
大丈夫だと思っているんですが、何か？

Apacheは なんで無料なんだ？
どうして何の協力もしてないヤツらが得意気に使ってるんだ？

安全でサポート万全なマイクロソフト製品を使いましょう

MS社員の煽りはまだか

　ま　た　、　東　京　で　す　か　？


トーキョーはもはやソウル以下だな！

>>56
志村〜上、上

>>56
すぐ上にいますよ２人ばかり。

M　S　社　員　相　変　わ　ら　ず　必　死　だ　な　（　藁

それはともかく、
デフォルトで有効な機能で穴が見つかるのっていつ以来？
個人で上げてるサーバならともかく、商用サイトだと大変だろうな。

まぁ、UNIXサーバならログインしてCVSupしてお終いって所だな。

Windowsなら、ラックから降ろして、キーボード繋いで、モニター繋いで、以下略。

>ま、大した穴じゃない。


（・∀・）ｶｺｲｲ!

＞どうして何の協力もしてないヤツらが得意気に使ってるんだ？

ソフトに協力するのは作ることだけではないからです。
使うことも立派な貢献です。

>>63
そそ。だれかが、パッチをつくって、apache.org
にあげる。それはM$なんかとは比較にならない
くらい高速だ。

すでに自分は修理したし。

そして、その誰かのパッチを他の方もすぐ当てら
れる。ここに大きな違いがある。

オープンソースは....なんて言っているが、管理を
してからその言葉を吐いてくれ。管理に携わって
もいない人間がしゃべる言葉ではない。

バグフィクスされたapacheがリリースされたそうです。

http://www.apache.org/dist/httpd/Announcement.html
http://httpd.apache.org/info/security_bulletin_20020617.txt

Apache のソースほとんどそのまま使ってる IBM の HTTP サーバは大丈夫なのか?
まぁ IBM 内で修正してるなら Apache にもコミットされてるだろうから、だめ
なんだろうな。大手銀行、保険、商社全滅。

httpd.confも最新版のApacheの物と入れ替えないとダメ？
再入力　再設定かなり時間かかんだよ

最新版ダウンロードサイト
http://www.apache.org/dist/httpd/

>>66
IBMの商品としてサービスを受ける事が出来るので、
サポート契約をしているはずの大手銀行・保険・商社は、
問題発覚後すぐにサポート要員が直接修正してくれます。

Apacheにコミットする作業とはまったく別系統。

F5程度で落ちた　何処かのサーバーは対処するよな

>>67
アホはサーバ管理者になるな。

>>61
windowsでもRDPでログインして、パッチ当てて、TSSHUTDNで再起動。
パッチがすぐ出るかどうかはともかくとして、手間は変わらないよ。

>>46
バッファオーバーフローを起こせるのが原因で、DoSだけでなく、侵入者が
任意のコードを実行できる可能性があるという話。

あ、ごめん。
>>73の任意のコード云々は64bit、もしくはWindowsプラットフォームに限った話らしい。

>>72
（　´,_ゝ`）ﾌﾟ

シェルスクリプトを一つ作って全自動処理するのと、WSHでいろいろ悩み、
あげく半自動で我慢するのとどっちも変わらないよな。労力的には。（ｗ

まぁ、たった　３　０　倍　程　度　だから許容範囲内だよな。

誰が作ったか分からないような無料ソフトは危険です
ぜひマイクロソフト製品を使いましょう

どういうコードが含まれているか解らないソフトは危険です
ぜひオープンソースソフトウェアを使いましょう

例えば、暗号処理を特定の人間にだけ解きやすいように改良することも出来ますし、
経営のトップの目の届かないところに、悪意のあるプログラマの１人がこっそり
任意のコードを混入させることも可能です

>どういうコードが含まれているか解らないソフトは危険です
>誰が作ったか分からないような無料ソフトは危険です

というより、MSという会社のセキュリティに対する設計思想のｱﾌｫぶりの方が
重大な問題のような気がする（；´Д｀）

>>78
まぁ、どのソフトも同じ問題を抱えている。
ソフトウェア工学の問題だよ。

『ブラックボックス・デビル問題』
とでも名付けようか。

『BBB問題』
『3B Probrem』
とでも言おうか。

BlackBoxBomb

どれもたいして変わらない。

実際人気ないからスレが伸びない

>>83
ここにプログラマーが少ないからでしょ

そりゃ、セキュリティホールの根本原因なんて、ソフトウェア工学のコアな問題
にあーだこーだ言えるヤツなんて、数％だからしょうがない。

どーせ、「もうだめぽ」「だからオープンソースは駄目なんだ」とか言うIIS覚えたての
厨房だけしかあつまらない。

何言ってるのさ、ＭＳと書いてありゃ猫も杓子もとびつくってーの

＞「だからオープンソースは駄目なんだ」
いかなことにもそれはネタでしょ(w

やっぱさー。
『国民の生命財産を守る』
のは、民間企業ではなくて政府の仕事だよな。


国内セキュリティ専門の特殊法人を作るべきだと思う。

>>61
最近UNIXの操作方法を習い，誰かに自慢したくてたまらない学生さんですか？
宜しければ私が話を聞いて差し上げますよ。

俺が経営者ならリナックスなんて怪しい代物を導入しようとする社員はクビだね

>>89
最近のFreeUNIXを知らない老人ですか？

>>90
良い意見だね。

つまり、

『オープンソースは社会認知度が低い』

ということを認識しないと駄目だね。日本では。

dir

　オープンソースは厚生労働省未認可だったんじゃないのか?

ハンバーガーにかけて食ったやつは薄情すれ。

>>88

>やっぱさー。
>『国民の生命財産を守る』
>のは、民間企業ではなくて政府の仕事だよな。


>国内セキュリティ専門の特殊法人を作るべきだと思う。

MSおんぶにだっこで数年前にはちょっとクラックされたら夜サーバ
止めてたぞ。
ホームサーバじゃねーんだからさぁ。一応は官公庁の公式サイトなん
だから。ってことでそんな所に期待しても無駄。役に立たない天下り
先増やすのが関の山。

>>90
こないだ転勤してきたばかりだけど、
うちでは業務用途にリナックスとMySQLを使ってるらしい。
MySQLが不安定とか同僚が言ってた。
顧客データはどうやって管理してんだろ。なんか怖い。

うちの経営者は何も把握してない様子。

>>96
MySQLはそもそも、複雑な入出力に必要な機能は切り捨てて
高速化を図っているというシロモノ。
検索メインで使いなされ。

>>95
アメリカのボランティアが強いのは国が（といってももっぱら州だけど）金出してるから
なんだよ。後ろ盾がしっかりしている。

日本のボランティアが増えないのは国や地方が金出さないから。

ボランティアを一義的に無料の労働力と考えているアフォ公務員が多過ぎるYO!

まぁ、ITで儲けたかったら、ボランティアを無視しちゃ駄目。
道路公団や郵政はもう駄目だし、何より輸出できない。消費する一方。

まぁ、こっちにばらまきなさいってこった。ばらまきは現代資本主義社会の必要悪。
どう使うかが問題。
こっちに水を蒔けば、芽が出て花が咲き、その花で日本は食べていける。
道路に蒔いたって、カビが生えるだけ。まぁ、せいぜいコンクリの腐食が早まる程度だろう。

ヘリコプターのやつだったっけ。
俺はプラトーンのが印象に残ってるよ。死ぬ時両手広げるシーンとか。

http://www.hotwired.co.jp/news/news/20020619302.html
一部抜粋引用ッス

ワシントン発――ウェブサーバー・ソフトとして広範に普及している『アパッチ』に、
セキュリティーホールが発見された。
このためアトランタにある民間企業、米インターネット・セキュリティー・システムズ
(ISS)社の専門家が、一般のユーザーや米連邦捜査局(FBI)のコンピューター・セキュリティー部門に警告を出した。

問題は、メーカー自体に通知しなかった点だ。そのうえ、ISS社が誤った対処方法を公開
したため、話が複雑になってきた。

ウェブサーバー用ソフト、アパッチに発見されたバグをめぐって17日(米国時間)に
巻き起こったこの騒動は、インターネットを攻撃から防護するシステムがまだ完璧には
ほど遠い状態にあることを示している。現在、インターネットの保護には、米国政府と
複数の民間企業が協同で取り組んでいる。

セキュリティー会社米アットステーク社のクリス・ウィソパル氏は、「なんらかの標準的
方法が合意できれば望ましいのだが。今回のような危険を何度も繰り返してはならない」と述べた。

アトランタに本社を持つISS社は17日早く、アパッチのセキュリティーホールに関する
警告を出した。アパッチは全ウェブサーバーの約60％で利用されている。米IBM社、
米オラクル社をはじめとする多くの企業が、多かれ少なかれアパッチに依存した製品を作っている。

現在ISS社は、業界の不文律を破ったとして各方面から非難を浴びている。
アパッチ開発者たちとの調整も行なわずに慌てて警告を出し、不完全なパッチを配布したためだ。

>>102
IISの問題なら大喜びするくせに虫のいい奴らだ。
これだからオープンソース信者は一般人に受け入れられない。

>>103
Apacheのシェアを知って言ってるの？

こういうボランティアの技術でしっかりボコボコ儲けて
外圧でしぶしぶしか社会貢献できない会社ΟΟΟ

>>105
Sun？

>>104
>>103が知ってるわけないじゃん。
いまだにIISなんか使ってるようだしね(w

IBMかもしれんな。

ボランティアって無給・無償って意味じゃないの？

結局はソースを公開したって脆弱なものは脆弱ということだね。

ああ、子午線が通ってる市のことね。

>>109
タダみたいな薄給っていうのもありました。。。

>>109
ボランティアは「自発的」れすよ。　　　ってマジレス期待されて無い？（w

>>111
グリニッヂ？

ボランティアは奉仕です

>>110
とりあえず、どこかよりは対応が早かった気もしますが・・・気のせいかも。

>>107
ＩＩＳは非常にオープンですが、何か？

しかしApacheって大した機能もないくせに、未だに新しいセキュリティホールが出てくるんだね。

クッ。
先週末にあぱちを２にｱﾌﾟｸﾞﾚｰﾄﾞしたのに、
今週末にまた元に戻すように上司に言われたよ・・・

ってゆーか、
元のバージョンも同じセキュリティホールがあるのに何故？

>>117
セキュリティホールが大解放ですか？

30 名前：名無しさん＠3周年 投稿日：2002/06/19(水) 21:23 ID:wAZnW2nN
>>28
.NETを強くお勧めします！

これはセキュリティよりISSの対応が問題になってるからニュースなんだろ？

>>122
> ISSのRouland氏によると、同社がただちにApache Software Foundationにコンタクトを取らなかった理由は、Apache Software Foundationのメンバーには、ISSまたは同社のクライアントと競合する会社に勤める人が多かったからだという。

・Windows版しかパッチ用意しなかった
・２時間じゃ何もできねーよ
・コンタクト取らなかった理由がDQN
・そもそもパッチが間違ってる（藁

少なくとも今回は（そもそも穴があったことを除いて）
ISSが全面的に悪いようだな。

漏れ1.3.22だけどISDNだからどーでもいいよ。

>>123
IISじゃなかった、ISSの密かな悪意を感じます（ｗ

おい、おまえら！！大変です。
日経ネットのザ・ランキング「日本サッカー史上初のＷ杯決勝トーナメント進出。功労者は誰？」でトルシエの通訳であるフローラン・ダバディ氏がサポーターの激しい反撃をくらって２位転落です。
今こそ２ちゃんの力を見せてください、おまいら！！
フローラン・ダバディをチェックして投票ボタンを押してくれ。
コピペ推奨！！
http://rank.nikkei.co.jp/best10/rank.cfm

ちなみに現在＞＞＞
1 　サポーター 27189
2 　フローラン・ダバディ 27188

だから Windows 2000 Server で IIS 使いなさい。
言わんこっちゃない。

Apacheの脆弱性の話はマーケティングに活用させてもらいます。
来月にはシェア逆転だ。

アパッチけんのセキュリティーホールは？

>>127
II$にはapatchの前身のソースがしっかりかっちり組み込まれているのに
大丈夫なんですか？

>>127
2000のIIS使うのなら、○○○を使ったほうがﾏｼ。

男は黙ってCERN httpd

誰も使ってないようなレアなシステムを使っていれば
セキュリティーホールが突かれることが無いぞ。
BeOSにウイルスがほぼ存在しないように。

あっそうか自分で作ればイイんだね！

おそらくはＭＳの、別会社経由のＦＵＤですね。

超漢字はサーバ構築できるんかね

あなたの予想に反してDoS攻撃をうけているでしょうか？

>>132
IPAの報告件数を見ると、Windows以外は、ウィルスはほとんど無いよ。
BeOSのほうが完璧だと思うが。

おい、これってWindowsのセキュリティ問題より結構やばくないか？

オープンなソフトの穴が見つかるなんて珍しくない。
問題は、「”Apacheは”セキュアだ」とか訳のわからないことを信じ込んで
ろくろくパッチも当てずにほったからされているWebサーバの多いこと多いこと。

オープンなソフトを使うということは、たとえそれが無償供与であっても
利用者はコミュニティに貢献することが当然に求められるし
（ソフトウェアの地位を貶めない、バグは適切に報告する、など）、
そういった意味でISSの対応は最悪。

ま、今回ほど有名になった事件の後で、各サイト管理者がどれだけ早期に
パッチを当てるか、が見ものです。
ISSのサイトは1.3.23っぽいんだがどうなってるんだろう…

>>95
科学技術庁もそれをやったんだ。もう情けなくて情けなくて・・・。

>>101
誰にも突っ込んでもらえなくて、可哀想。

>>114
Akashiではないかと。

おれたっちゃアパッチ野球軍

SYN_floodアタックって防げるの？

￥もらって作るシステムではオープンソースは使われないという罠。

>>114
最近はお堅い事で有名な某生保も某銀行も徐々に使いつつあるよ。まだほんの
一部だけどね。鯖室に唐突に Linux マシンが一台置いてあったり (本番運用
テストしてた)、ソース管理にCVS 使ってたり。

みんな、iPlanetつかってみようよ。
solaris9についてくるよ

そういやLinuxの作者とApacheのスタッフ数名で新しいサーバーソフト作ってるな。
TUX（タックス）って言うソフト。

めちゃんこ軽いらしい。

設定もApacheより簡単にしたいとか。

>>128
アパッチけんは先日教育テレビで多摩川の紹介をしてました。

>>147
期待あげ。

>>141
>>114はメール欄・・・

>131
esehttpd使え。(違

■IEのまだ開いたままの穴は14個

jbeef曰く、"13日に MS02-028, 029, 030 が出ましたが、スラッシュドット読者諸氏とっては
もはやニュースではない（ご自身で情報を入手されている）ことかと。というわけで、少し古い
ネタで、ご存じの方も少なくないかもしれませんが、こちらをご紹介。 Thor Larholm氏に
よって編集されている「Unpatched IE security holes」によると、欠陥内容がどこかで公表
されていながら適切なパッチがまだリリースされていないIEのセキュリティホールの数は、
現在14個とのこと。Microsoft Officeを入れている場合には4個追加されて合計18個となる
そうだ。
(以上、2002年6月17日のSlashdot Japanより一部引用―全文は引用元を参照)

引用元: http://slashdot.jp/article.pl?sid=02/06/15/060248

漏れはZopeを使ってるよ



通ぶってみました。

>>147
TuxはBenchmark専用WebServerだ。
実用には耐えない。

>>152
IEとIISの区別はついてるかい？学生ちゃん。(w

ServerにもIEは入っていて、普通は使わないから、
パッチも当ててなかったりして、
たまたま立ち上げて被害に遭うという罠。

>>154

何を持って実用と言うかだな。
TUX-2 & TomCat でシステム組んで、この前おさめたよ。

OpenBSD/i386 用の exploit 登場!
コードのコメントでは、Solaris 6-8 (sparc/x86)、FreeBSD 4.3-4.5 (x86)、
Linux (GNU) 2.4 (x86) でも exploit に成功した、という。
「32 bit UNIX では exploit できない」というのは大間違いだった模様。

>>155
（　´,_ゝ`）ﾌﾟ

>>158
1.3.x 系列は簡単に exploit 可能です。
対応版 mod_ssl も出たので、即刻バージョンアップしましょう。

さっき、40台すべて手動で上げた・・・疲れた。
せめてssh入れてくれよ＞課長

>155
IIS + ASP で XML いじってたりするところは、IEもきちんとアップデートしないと危険。
IEコンポーネントって、いろんな所から使われているし。

余談だけど、VisualStudio5 sp3(2?) で realloc にバグがあったけど、
このときコンパイルされた(非MS製)コンポーネントを使った
サイトって結構あったりするとおもう。

2ch の鯖は 1.3.26 に上げる予定無いの？
夜勤ﾀｿ…

>>157
ずいぶんチャレンジャーな会社だな、ウチではTuxは使用不可だが。
iPlanetとZeusしか許可が下りないのよ、Apacheも不可だわ、コストはともかく、Performanceがイマイチ。

あ、ウチはシステム系の会社じゃないよ、自社の公開サイトに使う鯖ね。
社内鯖ではIIS＋ASPだったりするけど。

セキュリティーホールがあることよりも、
一般公開する奴が居ることの方が問題だと思われ。

お会社様用途じゃなければ thttpd 辺りでぢゅうぶんなのではないかい
単純な物が頑丈なのは物でもソフトでも変わらんようにおもふ

>>164
まさに厨房的な発想だな。

肛門ドス！

京都のマイコさんが使ってそうだな。
どうでもいいけど・・・