FAMLog

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 2（ModSecurity for Apache 2.0）」が2006年10月16日に公開されています。

ModSecurity 2では、XMLのサポートやスコアリングによる判定、例外の検知、データの永続化、正規表現の後方参照、セッションのサポートなど数多くの機能が追加、改善されています。ライセンスは、バージョン1のときと同様に、GPLと商用ライセンスの2種類が用意されています。

なお、ModSecurity 2は、Apache HTTP Server 2.0以降で動作し、Apache HTTP Server 1.3での動作はサポートされていません。

［関連］ModSecurity Core Rules

「Mod_python 3.2.10」が公開されています。

Mod_pythonはApacheのモジュールであり、Apacheのサーバーサイド処理をPythonで記述できるようにするものです。Mod_python 3.2.10は、Apache 2.0だけでなくApache 2.2にも新たに対応しています。

バージョン3.2.10では、req.is_https()やreq.ssl_var_lookup()、およびreq.server.get_options()といったメソッドが新機能として追加されていて、その他にもいくつか改良点や不具合が修正されている箇所があります。

なお、Apache 1.3を利用している場合には、Mod_python 3.2.10ではなくMod_python 2.7.11を使用することになります。

「Apache HTTP Server 2.2.3」が公開されています。

Apache 2.2.3では、mod_rewriteのモジュールを使って特定のrewriteルールを利用している場合に、外部からのサービス拒否攻撃や任意のコードを実行可能であったセキュリティ上の問題が修正されています。また、バージョン2.2.3が公開されると同時に、Apache HTTP Server 2.0.59と1.3.37も同時に公開されていて、バージョン2.2.3と同様にmod_rewriteに関するセキュリティ上の問題が修正されています。

あわせてmod_ssl 2.8.28 for Apache 1.3.37も公開されています。

［関連］Apache mod_rewrite Off-By-One Buffer Overflow Vulnerability（セキュリティホール memo）

WebサーバーとTomcatの接続に使用されるコネクター「JK 1.2.18」が公開されています。

JK 1.2.18はJK 1.2系統の最新版のTomcatコネクターです。Mac版のFileMaker Server 8 AdvancedではJK 1.2.3-devをベースとしたものがWebサーバーモジュールとして使用されています。

なお、FileMaker Server 7 AdvancedはMac OS X Server v10.4のWeblogサーバーと非互換でしたが、FileMaker Server 8 AdvancedではJKのソースコードを修正してApacheの設定に使うディレクティブの名称を変更することにより（例：JKLogFile→JKFmLogFile）、上記の非互換に対処しているようです。

Mac OS X Server v10.4には、WebDAVでファイルやフォルダの名前に日本語を使用できるようにするためのApacheモジュールであるmod_encodingが組み込まれています。

Mac OS X Server v10.4に付属するApache 1.3用のhttpd.confの記述内容や動作を確認したところ、Mac OS X Server v10.4に組み込まれているmod_encodingは、オリジナルのmod_encodingではなく、Mac OS X専用mod_encodingであると推測されます。これにより、Windowsのクライアントから接続してもほぼ問題ないと言えるほど文字化けが解消されます。

mod_encodingは初期状態では無効になっているので、利用するためには「サーバ管理」アプリケーションで有効にする必要があります。

なお、Mac OS X Server v10.4にオプションとして最初からインストールされているApache 2.0にはmod_encodingは組み込まれていません。また、通常版のMac OS X v10.4にもmod_encodingは組み込まれていません。

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8b」および「OpenSSL 0.9.7j」が公開されています。

バージョン0.9.8bと0.9.7jでは重要な不具合の修正が含まれています。その他に、OpenSSL 0.9.7jではFIPS（Federal Information Processing Standards：米国連邦情報処理規格）関連の更新も含まれていて、有効なFIPSモジュールにリンクできる最初のバージョンのOpenSSLであるとのことです。

最新バージョンはバージョン0.9.8系列ですが、バージョン0.9.7系列のOpenSSLを引き続き利用する場合には、今回公開されたOpenSSL 0.9.7jの適用が推奨されています。

広く利用されているWebサーバーソフトウェアであるApache HTTP Serverの最新版「Apache HTTP Server 2.2.0」がリリースされています。

Apache HTTP Server 2.2.0は、新しい安定版系列であるApache HTTP Server 2.2の最初のバージョンです。バージョン2.0以降はLinux Kernelと同様に、バージョン番号の小数点第1位が奇数の場合は開発バージョン、偶数の場合は安定バージョンとするように番号が割り振られていて、Apache 2.2はこれまでバージョン2.1として開発されていました。

今回のメジャーバージョンアップでは、最近の32bit OSにおいて2GB以上のファイルがサポートされ、スマートフィルタリング機能やmod_proxyにロードバランス機能を追加するmod_proxy_balancer、Tomcatとの接続に使用できるmod_proxy_ajp、graceful-stop機能、Event MPMなどの機能が追加され、認証やキャッシュ関連のモジュールが改良されるなど、数多くの機能が拡張・改善されています。

Appleから「Security Update 2005-009」がリリースされています。

Security Update 2005-009は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.3およびMac OS X Server v10.4.3向けのもので、下記のソフトウェアが更新対象となっています。

・Apache mod_ssl、iodbcadmintool、OpenSSL、Safari、sudo（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.3、Mac OS X Server v10.4.3）
・CoreFoundation、curl、syslog（Mac OS X v10.4.3、Mac OS X Server v10.4.3）
・Apache 2、passwordserver（Mac OS X Server v10.3.9、Mac OS X Server v10.4.3）

Apacheに関連する部分としては、ApacheのSSLモジュールであるmod_sslはバージョン2.8.24に、OpenSSLはバージョン0.9.7iに更新され、さらにMac OS X ServerにオプションでインストールされているApache 2はバージョン2.0.55にアップデートされています。

［関連］mod_ssl 2.8.24 for Apache 1.3.33（FAMLog）、Apache HTTP Server 2.0.55（FAMLog）、OpenSSL 0.9.7i（FAMLog）

Webサーバーへの侵入の検知および防御を目的としたApacheのモジュール「ModSecurity 1.9」が2005年11月6日にリリースされています。

ModSecurity 1.9では、リアルタイムのAuditログ収集を行うために新しいAuditロギングサブシステムが追加され、Apache 2.0用のModSecurityではレスポンス内容をログに保存できるようになっています。

さらに、新しいアクションやディレクティブが追加され、GETおよびPOST以外のメソッドが全面的にサポートされるようになっています。ファイルアップロード時にClamAVとの連係機能をサポートしたり、chroot機能が改良されるなど、従来のバージョンと比較して数多くの点が改良されたものに仕上がっています。

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.9-beta」がリリースされています。

Apache 2.1.9-betaでは、mod_dbd、mod_filterおよびmod_charset_liteの各モジュールのステータスがExperimentalではなくなり、正式に標準で付属するモジュールとして扱われるようになっています。

また、worker MPMにおけるメモリーリークが原因で、ある特定の状況下でサービス妨害攻撃が引き起こされるセキュリティ脆弱性（CVE-2005-2970）が修正されています。

（2006/01/03追記：リンク先のURLを一部変更しました。）