タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた - piyolog
2021年10月4日(現地時間)、Apache HTTP Serverの深刻な脆弱性を修正したバージョンが公開されました。同ソフトウエアの開発を行うThe Apache Software Foundationは既に脆弱性を悪用する活動を確認していると報告しています。ここでは関連する情報をまとめます。 何が起きたの? Webサーバーソフトウエア「Apache HTTP Server」の特定バージョン(2.4.49)において、深刻な脆弱性(CVE-2021-41773)を修正したバージョン(2.4.50)が公開された。また、修正前より悪用する動きがThe Apache Software Foundationによって確認されていた。 脆弱性の修正が行われた2日後、修正方法が不十分で継続して攻撃が可能であったこと、さらに再度脆弱性の影響が評価された結果深刻度が最高となり、修正版(2.4.51)がリ
Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見
2021年10月6日に、CVE-2021-41773の修正を含むApache HTTP Server 2.4.50がリリースされました。 当該CVEはパストラバーサルの脆弱性であり、この脆弱性が悪用されるとDocumentRoot外にあるファイルが、インターネットから閲覧される可能性があります。なおこの脆弱性はApache HTTP Server 2.4.49のみに存在するものであり、それより古いバージョンには影響しません SOCでは、10月6日より当該CVEを狙った通信をお客様環境にて観測しています。 当該CVEを狙ったスキャン通信の例を図-1に示します。 図-1 CVE-2021-41773の有無を確認するスキャン通信例 Apache HTTP Serverのシェア率の高さや攻撃の容易さなどを鑑み、筆者の所属する解析チームにて本脆弱性を検証し、詳細を確認しました。 確認時点では既に攻撃
こんにちは、去年の8月に入社しましたMSP事業部エンジニアリンググループの鈴木です。 本記事は、Apache HTTP Server(以降「Apache」と略す)のgraceful stop/restart(以降、2つを指す場合「graceful」と略す)について調査・理解したことをまとめたものになります。具体的には以下について調査しました[※1]。 gracefulの概要、通常のstop/restartとの違いおよびユースケース systemd(systemctl)でgracefulを実行する方法 gracefulを実行する3つのコマンドの動作や関係性 gracefulを実行するコマンドの動作確認(ドキュメントの裏取り) 付録:graceful関連のソースコード解析(理解できている範囲のみ) なお、今回は私個人の学びの一環としてgracefulの基本的なことから調査しましたので、内容とし
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた | DevelopersIO
ALB配下のApache HTTP Serverに対して脆弱性(CVE-2021-41733)の再現ができない理由をNGINXの挙動から考えてみた ALBの実装はわからないのであくまで考察となります。 ALBについて考えてみたと謳っていますが、メインはNGINXのソースリーディングです。 少し長いですが、AWS環境でパストラバーサル攻撃の検証を行う際には頭の片隅に入れておくと良いかもしれません。 背景 2021/10/5にApache HTTP Server(以下Apache)の脆弱性が報告されました(CVE-2021-41733, CVE-2021-42013)。 Apacheの2.4.49および2.4.50においてパストラバーサル攻撃およびリモートコード実行の可能性があります。 ※Amazon Linux2でyum経由でインストールすると2021/10/11時点では2.4.48がインス
JPCERT-AT-2021-0043 JPCERT/CC 2021-10-06(新規) 2021-10-08(更新) I. 概要Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性(CVE-2021-41773)があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。 The Apache Software Foundation important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773) https://httpd.apache.org/s
「Apache HTTP Server」のゼロデイ脆弱性が公開される、攻撃を防ぐには最新バージョンへのアップグレードが必要
オープンソースのWebサーバーソフトウェアとして広く使われている「Apache HTTP Server」に、新たなゼロデイ脆弱性(ぜいじゃくせい)が存在することが開示されました。今回報告された脆弱性「CVE-2021-41773」により、本来は見られないファイルにアクセスするパストラバーサル攻撃が可能となってしまうとのことで、Apacheソフトウェア財団は最新バージョンへのアップグレードを呼びかけています。 Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project https://httpd.apache.org/security/vulnerabilities_24.html Apache fixes actively exploited zero-day vulnerability, patch no
こんにちは、ITエンジニアの小村(@system_kom)です。 以前のブログ記事でCentOS上にSSL対応したApache httpdの環境を作成してPHP7.2をインストールする手順を紹介しました。 2018年5月当時に書かれた、前回 ... Copyright © 2023 レムシステム エンジニアブログ All Rights Reserved.
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。 mod_davにおける境界外読み取りまたは0バイトの書き込みの脆弱性 - CVE-2006-20001 mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性 - CVE-2022-36760 mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題 - CVE-2022-37436 想定される影響は各脆弱性により異なりますが、
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO
[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したい こんにちは、のんピ(@non____97)です。 皆さんは一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成したいなと思ったことはありますか? 私はちょっとあります。 以前、以下記事でApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスをAuto ScalingさせてALBで接続
![[AWS CDK] 一撃でIPアドレスベースのApache HTTP ServerとApache TomcatのVirtual Hostが動作しているEC2インスタンスを作成してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/58352a94df47d0b99e7fafc14aff639f05f1518d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-cdk.png)
Hi everyone, I’m so excited to be here at my very first RubyConf! The last couple of days have been amazing and it’s what I imagined RubyConf to be and more! Welcome to Let’s build a simple HTTP server with Ruby. The Ruby community has a few popular web servers based off Rack (WEBrick, Puma, Thin, Unicorn, Passenger, etc). These servers are battle tested so you don’t really need to roll your own.
This is part #2. Head over to part #1 to learn about HTTP in Ruby. Motivation Historically Ruby's been lacking in the concurrency department. Ruby has "native" threads (prior to 1.9 there were only "green"), which means there can be multiple threads controlled by an OS, but only 1 thread can be executed at a time, this is managed via Global Interpreter Lock (GIL). However, native calls and I/O cal
GitHub - emmett-framework/granian: A Rust HTTP server for Python applications
A tag already exists with the provided branch name. Many Git commands accept both tag and branch names, so creating this branch may cause unexpected behavior. Are you sure you want to create this branch?
GitHub - msoap/shell2http: Executing shell commands via HTTP server
HTTP-server designed to execute shell commands. It is suitable for development, prototyping or remote control, facilitates rapid iteration and testing of shell-based functionalities. Easy to set up using just two command-line arguments: URL-path and shell command. Next, when an HTTP request is made for the specified path, the stdout of the shell script will be returned, that's all. shell2http [opt
関連キーワード Apache | サーバ | 脆弱性 2021年10月4日(現地時間)、Apache Software FoundationはWebサーバソフトウェア「Apache HTTP Server」の脆弱(ぜいじゃく)性「CVE-2021-41773」の存在を公開し、パッチを提供した。セキュリティツールベンダーcPanelのセキュリティチームに所属するアッシュ・ドールトン氏がこのCVE-2021-41773を発見し、Apache Software Foundationに報告した。 パッチ適用を急がなければいけない理由 併せて読みたいお薦め記事 さまざまな脆弱性 セキュリティ研究家が“怒り”の公開 Apple「iOS」3つの脆弱性とは 「Exchange」の“設計上のミス”が招いた情報漏えいとは? 無料SSLサーバ証明書発行のLet's Encryptに脆弱性 犯罪者が悪用する“穴”
Docker で CentOS Linux 8 環境を構築して Apache HTTP Server を起動する - Qiita
概要 macOS 上の Docker で CentOS Linux 8 環境を構築する Apache HTTP Server を起動してコンテナ内外からアクセスする 今回の環境 macOS Catalina Docker Desktop Community 2.2.0.4 Docker 19.03.8 CentOS Linux 8 Apache HTTP Server 2.4.37
【AWS】初心に戻って1からVPCを構築してみた Apache HTTP Server構築編 - Qiita
はじめに 昨日の記事の続きです。VPC、パブリックサブネット、プライベートサブネット、ルートテーブル、EC2インスタンスを構築しました。本日はインスタンスにWEBサーバの機能を持たせようと思います。 具体的にはApache HTTP Serverをインストールします。Apacheはオープンソースで提供されています。 世界で一番利用されているWebサーバーソフトウェアです。 過去の記事は以下から参照ください。 構成図 手順 1. インスタンスにログインします。ログイン方法は昨日の記事をご参照ください。 2. 以下のコマンドでLinuxシステムにインストールされているすべてパッケージのバージョンを最新のものに更新します。 トランザクションの要約で確認の応答にyと入力します。完了しました!と出たら成功です。 % sudo yum update トランザクションの要約 ==============
GitHub - syumai/workers: Go package to run an HTTP server on Cloudflare Workers.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み
前回バージョンからわずか3日、Apache HTTP Server 2.4.51が公開 脆弱性を利用した攻撃を確認済み Apache HTTP Server 2.4.50のリリースから3日後、新バージョンの「Apache HTTP Server version 2.4.51」が公開された。Apache Software Foundationによれば前回の脆弱性の修正が不十分だったという。
いまさら聞けない「Apache HTTP Server」と「Apache Tomcat」の違いとは?
関連キーワード Apache | アプリケーションサーバ | Webアプリケーション 「“Apache”と“Tomcat”は何が違うのか?」 これは開発者がよく耳にする質問だが、誤解を招く恐れのある聞き方だ。一般的に、この質問で真に尋ねたいのは「『Apache HTTP Server』と『Apache Tomcat』(以下、Tomcat)は何が違うのか」という点だ。Apache HTTP ServerもTomcatも、オープンソースソフトウェアの開発プロジェクトを運営する非営利団体Apache Software Foundationが管理している。この事実を考えると、「Apache対Tomcat」という質問の不正確さが理解できるだろう。 この混乱は主に「Apache」という単語が、「Apache HTTP Server」を指す一般用語となっていることが原因だ。1995年に公開されたApac
「フロントエンドをHTTPS化してHTTP公開しているREST APIに接続したい、でも自分のPCにApacheやNginxを入れてHTTPS化するのは面倒くさい」 開発中ってこういうニーズと悩みが結構多いです。HTTPS環境化でないと動かないHTML5 APIが増えてきたことで、さらに需要が増してきた感があります。 HTTPサーバ機能を提供してくれるソフトウェアは数あれど、Nodeモジュールのhttp-serverはこういったアドホックなニーズに簡単にマッチしてくれます。 SSL化する為のファイルを一度作ってさえしまえば、HTTPS開発環境を簡単に作れるようになります。
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月10日、「JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Server 2.4に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によってさまざまな影響を及ぼされる危険性があるとされており注意が必要。 JVNVU#94306894: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート 脆弱性に関する情報は次のページにまとまっている。 Apache HTTP Server Project - Apache HTTP Server 2.4.54 Release
CentOS 8 のApache HTTP Server環境にcertbotでLet's Encrypt SSLを利用する方法
CentOS 8にウェブサーバー用ソフトウェア「Apache httpd」と「PHP」をインストールする手順を以下の記事で紹介しました。このままでも運用はできますが、最近ではHTTPを暗号化するHTTPSが一般的になっています。 サーバーが ... Copyright © 2024 レムシステム エンジニアブログ All Rights Reserved.
GitHub - x1n13y84issmd42/bashttpd: 👨🏻💻👩🏼💻👨🏾💻 An HTTP server and a web framework in Bash script.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
mkcertとhttp-serverでHTTPS環境を作りAndroid(chrome)、iPhone(safari)から接続 – One IT Thing
簡単にパーフェクトなオレオレ証明書が作れるとgithub上で人気上昇中の「mkcert」。 A simple zero-config tool to make locally trusted development certificates with any names you'd like. - FiloSottile/mkcert FiloSottile/mkcert - GitHub goで開発されていて様々なOSで動きます。今回はWindowsで試しました。 検証環境 mkcertで作成した証明書とNode.jsのhttp-serverコマンドを使ってHTTPSサーバを建て、Android(Chrome)とiPhone(Safari)から接続してみます。 Windows10(mkcert)Android9(chrome)iOS13(safari)Node.js 10.16(http
A few days ago I wrote a post describing how to run an HTTP server from an iOS app. This intrigued me to start investigating how to implement a similar application on an Android app too. So, in this post I will describe how to setup and run an HTTP server from an Android app. As I mentioned in the iOS post, such a setup (running a server from an app) can be utilized in many ways, with performing u
Notes about the password encryption formats generated and understood by Apache. Basic Authentication There are five formats that Apache recognizes for basic-authentication passwords. Note that not all formats work on every platform: bcrypt "$2y$" + the result of the crypt_blowfish algorithm. See the APR source file crypt_blowfish.c for the details of the algorithm. MD5 "$apr1$" + the result of an
Better HTTP server routing in Go 1.22 - Eli Bendersky's website
An exciting proposal is expected to land in Go 1.22 - enhancing the pattern-matching capabilities of the default HTTP serving multiplexer in the net/http package. The existing multiplexer (http.ServeMux) offers rudimentary path matching, but not much beyond that. This led to a cottage industry of 3rd party libraries to implement more powerful capabilities. I've explored these options in my REST Se
static-server: an HTTP server in Go for static content - Eli Bendersky's website
I put together a simple static file server in Go - useful for local testing of web applications. Check it out at https://github.com/eliben/static-server If you have Go installed on your machine, you don't have to download anything else; you can run: And it will start serving the current directory! Run it with -help for usage information. No configuration files needed - the default is useful and yo
はじめに https環境でないと動かないJavascript APIなどを試験するのにローカルになんちゃってhttpsサーバが欲しくなった。以下の手順が最も簡単で速い方法だと思ったのでここに記す。 mkcertのインストール Macの場合
How to handle signals with Go to graceful shutdown HTTP server
How to handle signals with Go to graceful shutdown HTTP server In this article we are going to learn how to handle os incoming signals for performing graceful shutdown of http server. To do so we are going to take advantage of os/signal package. Signals are primarily used on Unix-like systems. Types of signals We are going to focus on asynchronous signals. They are not triggered by program errors,
GitHub - contra/graphql-helix: A highly evolved GraphQL HTTP Server 🧬
import express, { RequestHandler } from "express"; import { getGraphQLParameters, processRequest, renderGraphiQL, shouldRenderGraphiQL, sendResult } from "graphql-helix"; import { schema } from "./schema"; const app = express(); app.use(express.json()); app.use("/graphql", async (req, res) => { // Create a generic Request object that can be consumed by Graphql Helix's API const request = { body: r
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Apache HTTP Server」に2件の脆弱性 ~v2.4.52へのアップデートを/最大深刻度は「High」
Apache HTTP Serverのgraceful stop/restartを理解する
Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
CentOS 7にPHP 7.3をインストールしてApache HTTP Serverと連携させる方法
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正/「Apache 2.4.56」への更新を
JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
CVE-2021-41773: Path Traversal Zero-Day in Apache HTTP Server Exploited
Let’s build a simple HTTP server with Ruby by Esther Olatunde
HTTP server in Ruby 3 - Fibers & Ractors
「Apache HTTP Server」に脆弱性 専門家がパッチ適用を“強く推奨”の理由
「Apache HTTP Server」のゼロデイ脆弱性対策は不十分 ~「Apache 2.4.51」で追加修正/パストラバーサルによりドキュメントルートの外にあるファイルへアクセスされる
「Apache HTTP Server」にセキュリティアップデート ~3件の脆弱性を修正/「Apache 2.4.59」への更新を
http-serverコマンドでHTTPS、CORSサーバをたてる – One IT Thing
Apache HTTP Server 2.4に脆弱性、アップデートを
Running an HTTP server on an Android app
Password Formats - Apache HTTP Server Version 2.4
http-serverによるローカル HTTPS server 構築 (5分でできる) - Qiita
qiita.com/kaizen_nagoya
note.com/plaid_design
news.livedoor.com
sirabee.com
aviddance.hateblo.jp
shonenjumpplus.com