1 - 22 件 / 22件
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの? Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリ
2021年10月6日に、CVE-2021-41773の修正を含むApache HTTP Server 2.4.50がリリースされました。 当該CVEはパストラバーサルの脆弱性であり、この脆弱性が悪用されるとDocumentRoot外にあるファイルが、インターネットから閲覧される可能性があります。なおこの脆弱性はApache HTTP Server 2.4.49のみに存在するものであり、それより古いバージョンには影響しません SOCでは、10月6日より当該CVEを狙った通信をお客様環境にて観測しています。 当該CVEを狙ったスキャン通信の例を図-1に示します。 図-1 CVE-2021-41773の有無を確認するスキャン通信例 Apache HTTP Serverのシェア率の高さや攻撃の容易さなどを鑑み、筆者の所属する解析チームにて本脆弱性を検証し、詳細を確認しました。 確認時点では既に攻撃
こんにちは、去年の8月に入社しましたMSP事業部エンジニアリンググループの鈴木です。 本記事は、Apache HTTP Server(以降「Apache」と略す)のgraceful stop/restart(以降、2つを指す場合「graceful」と略す)について調査・理解したことをまとめたものになります。具体的には以下について調査しました[※(注記)1]。 gracefulの概要、通常のstop/restartとの違いおよびユースケース systemd(systemctl)でgracefulを実行する方法 gracefulを実行する3つのコマンドの動作や関係性 gracefulを実行するコマンドの動作確認(ドキュメントの裏取り) 付録:graceful関連のソースコード解析(理解できている範囲のみ) なお、今回は私個人の学びの一環としてgracefulの基本的なことから調査しましたので、内容とし
The Apache Software Foundationは7月3日、「Apache HTTP Server 2.4.61」を公開した。深刻度「Important」の脆弱性1件を修正したセキュリティーアップデートとなっている。「Apache HTTP Server」は、7月1日にセキュリティアップデートが行われたばかり。 修正された脆弱性「CVE-2024-39884」では、ファイルが間接的に要求された際にAddTypeディレクティブなどに基づくコンテンツタイプの一部が無視され、ローカルコンテンツのソースコードが窃取される恐れがある。たとえばPHPのスクリプトが解釈されず、ソースが提供されてしまうことがあるとのこと。 The Apache Software Foundationは、最新版へのアップデートを推奨している。
JPCERT-AT-2021-0043 JPCERT/CC 2021年10月06日(新規) 2021年10月08日(更新) I. 概要Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性(CVE-2021-41773)があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。 The Apache Software Foundation important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773) https://httpd.apache.org/s
オープンソースのWebサーバーソフトウェアとして広く使われている「Apache HTTP Server」に、新たなゼロデイ脆弱性(ぜいじゃくせい)が存在することが開示されました。今回報告された脆弱性「CVE-2021-41773」により、本来は見られないファイルにアクセスするパストラバーサル攻撃が可能となってしまうとのことで、Apacheソフトウェア財団は最新バージョンへのアップグレードを呼びかけています。 Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project https://httpd.apache.org/security/vulnerabilities_24.html Apache fixes actively exploited zero-day vulnerability, patch no
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性 - CVE-2006-20001 mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性 - CVE-2022-36760 mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題 - CVE-2022-37436 想定される影響は各脆弱性により異なりますが、
関連キーワード Apache | サーバ | 脆弱性 2021年10月4日(現地時間)、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱(ぜいじゃく)性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。 パッチ適用を急がなければいけない理由 併せて読みたいお薦め記事 さまざまな脆弱性 セキュリティ研究家が"怒り"の公開 Apple「iOS」3つの脆弱性とは 「Exchange」の"設計上のミス"が招いた情報漏えいとは? 無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する"穴"
はじめに 昨日の記事の続きです。VPC、パブリックサブネット、プライベートサブネット、ルートテーブル、EC2インスタンスを構築しました。本日はインスタンスにWEBサーバの機能を持たせようと思います。 具体的にはApache HTTP Serverをインストールします。Apacheはオープンソースで提供されています。 世界で一番利用されているWebサーバーソフトウェアです。 過去の記事は以下から参照ください。 構成図 手順 1. インスタンスにログインします。ログイン方法は昨日の記事をご参照ください。 2. 以下のコマンドでLinuxシステムにインストールされているすべてパッケージのバージョンを最新のものに更新します。 トランザクションの要約で確認の応答にyと入力します。完了しました!と出たら成功です。 % sudo yum update トランザクションの要約 ==============
前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み Apache HTTP Server 2.4.50のリリースから3日後、新バージョンの「Apache HTTP Server version 2.4.51」が公開された。Apache Software Foundationによれば前回の脆弱性の修正が不十分だったという。
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月10日、「JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Server 2.4に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってさまざまな影響を及ぼされる危険性があるとされており注意が必要。 JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート 脆弱性に関する情報は次のページにまとまっている。 Apache HTTP Server Project - Apache HTTP Server 2.4.54 Release
ハニーポット観測:Apache HTTP Serverパストラバーサル脆弱性(CVE-2021-41773,CVE-2021-42013)を標的とした攻撃の攻撃分析ApacheSecurityIoThoneypot はじめに 三菱電機の大塚です。 三菱電機 情報技術総合研究所では、製品開発時のセキュリティ対策にフィードバックする目的で、複数種類のハニーポットを設置・運用しています。 運用しているハニーポットの1つに、IoT機器を応答機能に設置した「IoT家電ハニーポット」があります。これは、IoT機器の普及に伴い増加した「IoT家電を使用している家庭」を模擬しています。 ハニーポットとは、攻撃される環境を模擬した囮システムであり、サイバーセキュリティの研究に使用されます。一般的に、攻撃を観測したいシステムを模擬するため、様々な種類のハニーポットが目的に合わせて設置されています。 IoT家電
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く