いつきコンテンツ

ヘルプ

カウンター


2011-08-25 死にそう

へろへろり

[日記][買い物] 今日の買い物 in Amazon

ぷらなすがーる

プラナス・ガール(4)

と言う訳で、予想通り到着~

早く読みたいけど、いつ読めるかなぁ……。

[日記] angelbeatsのタグ検索で18,412件@pixiv

件数表示あり&1日で23件減り。またがこっと減ったな……。

実際には1件位増え。少ない!

[日記] Amazonから発送メール来た

マンガ家さんとアシスタントさんと。

[情報][セキュリティ] Apache: Range header の処理に欠陥があり、DoS 攻撃 (メモリ、CPU 負荷上昇) が可能。

変なRangeヘッダつけるとDoS成立。というか、Rangeヘッダを無制限に受け付けてしまうためにDoS状態になるのかこれ? 回避策が全部Rangeヘッダの,個数を制限してる事からおそらくそう。

昔IISでも類似バグ(同じではないっぽい?)があった模様。

で、Apache HTTPD Security ADVISORYで載ってる方法のうち、1)の方法が一番容易に出来るのだが……

   Option 1: (Apache 2.0 and 2.2)

# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

Option 2: (Also for Apache 1.3)

# Reject request when more than 5 ranges in the Range: header.
# CVE-2011-3192
#
RewriteEngine on
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

CustomLogの行は、変なアクセスのログを取らないのであれば不要。

で、Apache 2.0 and 2.2って書いてあるけど、ワシが使ってたApache 2.0では動かなかった。「header unset takes two arguments」とエラーを出して落ちてくれる。あ、ちなみに1)の方法は、Apache 2.0 and 2.2の場合、mod_headersを使ってるので有効にする必要有り。Apache 1.3の場合はみりゃー分かるが、mod_rewriteね。

で、Apache 2.2の場合は動くけど、Apache 2.0だとエラーになる。多分これバグだよね……w

とりあえず、問題の本質はRangeがいっぱいあることなので、Range: byte=0-とかに書き換えてしまってもOK(なはず)

というわけで、Apache 2.0系の場合、こんな感じで回避可能だと思われる

          # Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader set Range bytes=0- env=bad-range

# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range

よーするに、Rangeヘッダをunset(消す)んじゃなくて、byte=0-にset(書き換える)

とりあえずはこれで。

公開サーバー(とか、重要じゃないサーバー)じゃなきゃ、放置って選択も有りではある。

追記:2011/08/26

CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xによると、互換性の関係で、Request-Rangeも削らないとあかんらしい。

というわけで、

          SetEnvIf Request-Range (,.*?){5,} bad-range=1
RequestHeader unset Request-Range env=bad-range

こんな感じの行を

          SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

の後に追加(Apache 2.2)

Apache 2.0の場合は追加するのはこんな感じ

          SetEnvIf Request-Range (,.*?){5,} bad-range=1
RequestHeader set Request-Range bytes=0- env=bad-range

Apache 1.3系の場合はこんな感じ(のはず)のを追加。

          RewriteCond %{HTTP:request-range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

[ネタ] シュタインズ・ゲート 第21話「因果律のメルト-Paradox Meltdown-」 ‐ ニコニコ動画(原宿)キタ━━━━(゜∀゜)━━━━!!

後で見る!

→見た

\オッカリ~ン/弾幕が……w

AAのいない世界線……。と思ったら、そげぶAAののいる世界線だった!?

ダル、コミケへ行ったw

のっぽさん言うなwwwww

ダルのコレクションwww

あ、切った。

まゆしぃ……。

今、花澤さん素だったぞw

あああああ………まゆしぃが……

CMが声有りかwwwww 台無しだwww

言い切った……

言ってしまうのか……。

職人wwwwww

助手の声優すごいな……。

まゆしぃ、RS発動……?

おかりん……w

まゆしぃ、おかりんを嫁に……! まゆしぃも助手も嫁に……。

おかりん……

これだけは言える!!!!

良い、まゆしぃ回だった!!!!!!!

そして各声優も凄かった……!!!!

残りの話も期待っ……!!!

[情報] 【一部復旧】最新のAdobe Flash Playerで一部動画が再生不可‐ニコニコインフォ

対策終了したらしいので、アップデートした。

……10.3.183.5より新しい気がします。

[ネタ] 日本の最高責任者で、国の信用を強化する最高の責務を負っている人が日本国債の格下げについて一言

菅首相「残念だね」=国債格下げ

全く日本の事を考えてない人だねぇ。

[日記] 今日の作業曲は、Steins;Gate (ゲーム版) OP スカイクラッドの観測者でした

シュタゲ原作やりたくなってきたが、時間がなさ過ぎる。

Last Update: 2011-08-26 23:36:18

カレンダー

2003|04|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|07|08|11|
2013|03|05|08|
2014|01|
2015|04|05|06|07|09|10|12|
2016|01|03|05|06|10|11|
2017|06|
2018|05|08|09|10|11|
2019|04|08|12|
2020|03|08|09|11|
2021|05|
2022|04|
2023|12|
2024|04|
Generated by tDiary version 4.1.2 + amazon(DB Patch 0.2.1) + counter(DB Patch 0.2) + IKPatch version beta 4.0.1.
Powered by Ruby version 2.1.5-p273 with ruby-fcgi