FAMLog

Mod_python 3.1.4およびMod_python 2.7.11がリリースされています。これらのバージョンにはセキュリティ脆弱性の修正のみが含まれています。

Mod_pythonはApacheのモジュールであり、Apacheのサーバーサイド処理をPythonで記述できるようにするものです。Mod_python 3.1.4はApache 2.0のみに対応していて、Apache 1.3を利用している場合にはMod_python 2.7.11を使用することになります。

Mod_python 3.1.4および2.7.11では、Mod_pythonのPublisherハンドラが原因で細工されたURLにより非公開ファイルの漏洩を許してしまう脆弱性（CAN-2005-0088）が修正されています。Publisherハンドラを使用している場合には、なるべく早く新しいバージョンにアップデートする必要があります。

Apache HTTP Server 2.0.53がリリースされています。このバージョンにはApache 2.0系列における2点のセキュリティ脆弱性の修正が含まれています。

悪意あるユーザーが大量の空白文字が含まれたヘッダーを送信することでDoS攻撃を受けてしまう脆弱性（CAN-2004-0942）が、Apache 2.0.53で修正されています。このセキュリティ脆弱性はApache 2.0.52およびそれ以前のバージョンのApache 2.0に存在するものです。

もう1点は、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）が修正されています。この脆弱性はApache 2.0系列ではApache 2.0.35からApache 2.0.52までのmod_sslに存在したもので、Apache 1.3系列ではmod_ssl 2.8.20 for Apache 1.3.31ですでに修正されています。

Security Update 2004-12-02を適用することで、ファイルデータとリソースフォークのコンテンツが、通常のApacheファイルハンドラをバイパスしてHTTP経由で入手可能であった問題（CAN-2004-1084）が修正されます。

Apacheの設定ファイルでは下記の内容が追加されます。

<Files "rsrc">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

<DirectoryMatch ".*\.\.namedfork">
    Order allow,deny
    Deny from all
    Satisfy All
</DirectoryMatch>

この変更により、下記のファイルに対するアクセスを拒否するように修正されています。

・*/..namedfork/data
・*/..namedfork/rsrc
・*/rsrc
・rsrc

Security Update 2004-12-02を適用することで、Apacheで「.DS_Store」ファイルおよび「.ht」で始まるファイルに対するアクセスを完全にブロックしていなかった問題（CAN-2004-1083）が修正されます。

Apacheの設定ファイルでは下記のように変更されており、この変更により「.ht」または「.DS_S」からはじまるすべてのファイルに対するアクセスを、大文字を使っているかに関わらず、制限するように修正されています。

［変更前］
<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

［変更後］
<Files ~ "^\.([Hh][Tt]|[Dd][Ss]_[Ss])">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Mac OS XのファイルシステムであるHFS+は通常のままではファイル名の大文字と小文字を区別しないため、Apacheのデフォルト設定ではURLの大文字小文字を意図的に変えることで非公開ファイルの閲覧が可能になってしまう場面があります。そのため、Mac OS XでApacheを動作させる場合には、上記のように設定を変更することが必須と言えます。

Appleから「iCal 1.5.4」がリリースされています。

iCal 1.5.4はMac OS X v10.2.3以降で利用可能で、セキュリティ上の問題（CAN-2004-1021）が修正されています。

iCalカレンダーはアラームによるイベント通知を含むことがあり、アラームによりプログラムを起動したりメールを送信することがあります。iCal 1.5.4では、アラームを含むカレンダーを読み込んだり開いたりしたときに、アラートを表示するように変更が施されています。

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 6.5.2」がリリースされています。

BMPイメージタイプのデコード処理がヒープメモリを上書きし、イメージに隠された任意のコードの実行を許可する恐れがある脆弱性（CAN-2004-0926）が修正されていますが、Mac版についてはSecurity Update 2004-09-30を適用していればすでに修正されているものです。

QuickTime 6.5.2では上記修正の適用可能なシステムが新たに増え、Windowsプラットフォームでの脆弱性にも対処されています。

Windowsプラットフォームでは上記の他に、整数オーバーフローによりリモートのアタッカーからDoS攻撃を受けてしまう脆弱性（CAN-2004-0988）も修正されています。この問題はMac OS X版QuickTimeには存在しません。

Apache HTTP Server 1.3.32がリリースされています。

Apache 1.3.32では、リモートサーバーからの不正な（負の）Content-Lengthヘッダーの応答の処理の問題（CAN-2004-0492）が修正されています。このセキュリティ脆弱性はApache 1.3.25から1.3.31までのmod_proxyに存在するものです。

あわせてmod_ssl 2.8.21 for Apache 1.3.32もリリースされています。

Apache 1.3.31用のモジュール「mod_ssl 2.8.20」がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

1点目は、OpenSSL 0.9.7を使用していて、DirectoryあるいはLocationコンテキストにおいてSSLCipherSuiteディレクティブが使われ、特定の暗号アルゴリズムを指定している場合に、実際にはバーチャルホスト設定で許可されているあらゆる暗号アルゴリズムが許可されてしまう脆弱性（CAN-2004-0885）です。この脆弱性はApache 2.0.35からApache 2.0.52までのmod_sslにも存在します。

2点目は、mod_sslのログレベルがtraceもしくはdebugの場合に、サーバーのクラッシュを引き起こすprintf関数の書式文字列に関わる脆弱性です。

なお、Apache HTTP Server 1.3.32が近日中にリリースされる見込みなので、Apache 1.3用のmod_sslは再度アップデートされると思われます。

Apache HTTP Server 2.0.52がリリースされています。Apache 2.0.51のみに存在したセキュリティ脆弱性の修正が含まれています。

Apache 2.0.51にはSatisfyディレクティブの処理に欠陥があり（CAN-2004-0811）、アクセス制御機能が正常に機能せずに、アクセスを許可してしまう脆弱性がありました。この脆弱性はバージョン2.0.52で修正されています。

Apache HTTP Server 2.0.50がリリースされています。このバージョンでは2点のセキュリティ脆弱性の修正が含まれています。

ヘッダーの解析処理に問題があるためにDoS攻撃を受けてしまう問題（CAN-2004-0493）、mod_sslを利用していて「SSLOptions +FakeBasicAuth」を指定していた場合に、クライアント証明書の所有者識別情報（Subject-DN）が6KBを越えているとバッファーオーバーフローが発生する問題（CAN-2004-0488）が修正されています。その他にも多くの不具合が修正されています。