vuln

Apache HTTPD 2.2.21 における変更点 (CVE-2011-3192 Range header DoS 対策)

やっと出たので動作差分です。主に2.2.20でエンバグして修正された点が主になります。 現時点ではまだリリースノートは更新されていませんが、開発者によるGA投票通過して ミラーもされてるので引っ込む事は無いでしょう。 ともあれ今回の件はこれで最後にな…

Apache HTTPD 2.2.20 における変更点 (CVE-2011-3192 Range header DoS 対策)

既にヘッダ削除設定で対応を終えた人も多いと思いますが、新しいバージョンが出た様なので。 まだ未対策の人は、どちらの対応がリスクが低いか判断して対策されると良いかと思います。新バージョンのアナウンスは以下です。 Apache HTTP Server 2.2.20 Relea…

CVE-2011-3192 Range header DoS vulnerability Apache 1.3/2.x の更に続き

気になって調べてたら細かくなってしまったのでエントリ分離。 コンテンツサイズ依存やPoCの独特な区間指定の謎が気になった人向けです。 対策や概要だけで良い方は前々回のエントリをご覧ください。 CVE-2011-3192 Range header DoS vulnerability Apache H…

CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x の続き

元のエントリに現時点の修正状況を追記しました。 動作的に互換性のある直し方をしてくると思ったらそんなことは無かった様で。 http://d.hatena.ne.jp/nice20/20110825/p1

CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.x

数日前からFull Disclosureで騒がれてたけどやっとCVE採番されたので。 以前のISC BINDの脆弱性(CVE-2011-1910)とかに比べるとzero-day状態に なったにも関わらずApache側の動きが遅い気もします。(表に見えてなかっただけ?) アドバイザリは以下 CVE-2011-3…