作成者別アーカイブ: admin

Apache HTTP Server 2.4.29 release

久々にブログ2回も書くとは・・・・。

そんなより、まだ一ヶ月もたっていないのい新バージョン2.4.29がリリースされてた。

apacheどうしちゃったの???

半年に1回ニューバージョンがでればいいくらいだったのに・・・。

2.2が終ったことで開発に余力がでてきたということかな?

それとも最近シェアおちまくりなんで焦ってるのか?

ダウンロードサイト
https://github.com/apache/httpd/releases

configureの作り方

# cd /usr/local/src
# wget # コメント上記urlからzipファイルをダウンロード
# unzip 2.4.29.zip
# cd httpd-2.4.29
# svn co http://svn.apache.org/repos/asf/apr/apr/trunk srclib/apr
# ./buildconf

後はいつもどおりインストールしてください。

参考はアパーブログさんがいいでしょう。

Chageは下記

Changes with Apache 2.4.29

*) mod_unique_id: Use output of the PRNG rather than IP address and
pid, avoiding sleep() call and possible DNS issues at startup,
plus improving randomness for IPv6-only hosts. [Jan Kaluza]

*) mod_rewrite, core: Avoid the 'Vary: Host' response header when HTTP_HOST
is used in a condition that evaluates to true. PR 58231 [Luca Toscano]

*) mod_http2: v0.10.12, removed optimization for mutex handling in bucket
beams that could lead to assertion failure in edge cases.
[Stefan Eissing]

*) mod_proxy: Fix regression for non decimal loadfactor parameter introduced
in 2.4.28. [Jim Jagielski]

*) mod_authz_dbd: fix a segmentation fault if AuthzDBDQuery is not set.
PR 61546. [Lubos Uhliarik ]

*) mod_rewrite: Add support for starting External Rewriting Programs
as non-root user on UNIX systems by specifying username and group
name as third argument of RewriteMap directive. [Jan Kaluza]

*) core: Rewrite the Content-Length filter to avoid excessive memory
consumption. Chunked responses will be generated in more cases
than in previous releases. PR 61222. [Joe Orton, Ruediger Pluem]

*) mod_ssl: Fix SessionTicket callback return value, which does seem to
matter with OpenSSL 1.1. [Yann Ylavic]

ということでバージョンアップ終了。

[root@www httpd-2.4.29]# httpd -v
Server version: Apache/2.4.29 (Unix)
Server built: Oct 18 2017 09:17:24

追記,let’s encryptのACMEプロトコルがapacheのmod_mdモジュールとして追加されるらしい。

https://letsencrypt.org/2017/10/17/acme-support-in-apache-httpd.html

さらに2.4.28からSSLPolicy directiveなんてあるんですね。
サイト管理者が.htaceessで選べるようになればいいんですが・・・。

https://httpd.apache.org/docs/trunk/mod/mod_ssl.html#sslpolicy

Nginx-1.12.2 releaseとIETF 100

まずはじめにnginxからいきます。

changeの中身をみるとバグ修正ですね。


Changes with nginx 1.12.2                                        17 Oct 2017

    *) Bugfix: client SSL connections were immediately closed if deferred
       accept and the "proxy_protocol" parameter of the "listen" directive
       were used.

    *) Bugfix: client connections might be dropped during configuration
       testing when using the "reuseport" parameter of the "listen"
       directive on Linux.

    *) Bugfix: incorrect response length was returned on 32-bit platforms
       when requesting more than 4 gigabytes with multiple ranges.

    *) Bugfix: switching to the next upstream server in the stream module
       did not work when using the "ssl_preread" directive.

    *) Bugfix: when using HTTP/2 client request body might be corrupted.

    *) Bugfix: in handling of client addresses when using unix domain
       sockets.

CentOS7をつかってる方はopenssl-1.0.2を簡単に使えるようになったので

httpsを使ってる方は是非h2に挑戦してみてください。

有効化はすごい簡単。

listen 443 ssl http2;

こんだけです。今回もインストールするにあたって、specファイルからビルドしました。

rpmファイルをつくろうとするとlsb_releaseコマンドがないといわれて調べてみると

# yum -y install redhat-lsb-core

これでビルドできるようになった。早速バージョンアップして終了。

次はゆきさんに教えてもらったIETF100です。

https://datatracker.ietf.org/meeting/100/agenda.html#dcrup,dispatch,doh,httpbis,uta,ntp,v6ops,tls,suit,oauth,acme,trans,quic,tsvwg,tokbind,curdle,mptcp,tcpm,dnsop

期間は11月11日からやるみたいなんですが、やる内容がすごい!!

こんなプロトコルがあると思うと同時に自分がどんだけ狭い世界にいるの思い知らされて凹む。

この人らがつくったものを使わせていただくだけですからね・・・。

特にquic当たりは面白そうなんで是非リアルタイムでみてみたい。

みれない人は議事録なんかも確認するといいのかも、まとめがでたらここでも紹介したいです!!

ラストはsuzukiさんにおしえてもらいました。その内ブログか?担当されてるサイトの記事で書くかな?

googleでトップページにhttpsでインデックスされてるサイトが66パーを超えたそうです。

今年度中の70パーセント超えは確実。下手すると80?もとのお返事を頂きました。

twiiterをのせたいのですが、ご本人様の許可とってないので僕の方をみてみてください。

IETF100といいロリポップ、Xserverとhttp/2が使え。これらのプロトコルはさらに進化します。

しかし、httpsにしないとはじまりません。

是非サイトの移行を挑戦してみてください。

おまけ、suzukiさんのブログから、301とか302にしてもgoogleはちゃんとpagelankを渡すそうです。

url変更を恐れてる方はそんな見えない部分を心配するより、

保護されていないと表示される部分を気にするべきです。

KRACKとCVE-2017-13077

昨日からWPA2の脆弱性が騒がれていましたが、

どうやらパッチで対応可能という情報だけで安心して寝てしまいました。

朝、早くおきてみる具体的なことがわかってきた。

無線のクライアント側への影響が多い。

影響を受ける端末は

クライアントモードで運用するルータ(アクセスポイントとかブリッジモードルータ)と
linux系の特にスマフォ(Android 6.0以上、その他)

http://www.security-next.com/086642

windowsは徳丸さんによるとすでに対策済みだそうで、ルータのファームウェアのバージョンアップはむずかしいのではないかとのこと

まぁ、いずれにせよ端末もしくはアクセスポイントで片方だけでもパッチを適用してしまえば攻撃は成立しないそうです。

俺は両方でたら、バージョンアップしますけどね。

さらにもともと通信が暗号化されているhttpsなどは影響をうけません。

dnsなんかはばれちまうでしょう。

パッチの適用については各ベンダーのサイトやjpcertを確認するといいでしょう。

https://www.jpcert.or.jp/

buffalo

http://buffalo.jp/support_s/osirase/

さて、red hatのほうですが、影響をうけます。

[root@www txt]# rpm -qa |grep wpa
wpa_supplicant-2.6-5.el7.x86_64

https://access.redhat.com/security/cve/cve-2017-13077

こんなパッケージがあったんですね。

修正バージョンがでたら、すみやかにバージョンアップします。

おまけ、flash playerのゼロデイ攻撃

http://www.security-next.com/086663

今日もお読みいただきありがとうございました。