覚え書-#29。

 2/11 に Steffen のところで, OpenSSL 1.0.2f でビルドの Apache 2.4.18 が出たので,一昨日,更新した。 ChangeLog を見ると nghttp2 1.5.0 のままのようだが,すでに nghttp2 1.6.0(MSVC release) が提供されているので,そっちを使ったほうがいい。まあ, nghttp2 の更新て,雪崩のごとき勢いだけどさ。 nghttp2 1.6.0 の ChangeLog。 mod_http2 1.1.0 と nghttp2 1.6.0 は,ここから落とせる。 Apache2.4 系を初めてインストールするという場合は,「Windows7上にWamp系WebServerを建てる-#1」を,どうぞ。現在,自鯖では VC14 バージョンを使っているが,これには, VC14 が必要である。

 今回,またもや, ssl.conf を弄った。 Mozilla SSL Configuration Generator が目に入ったもんでサァ (^_^;)。実のとこ,Apache 用の modern profile を使いたいんだが, Android4.3 以下用に残している “ECDHE-RSA-AES256-SHA” が足を引っ張る。こいつって, TLS v1.2 cipher suites ですらないし。ぼやいても仕方ないから,やれるとこだけやった。 “SSLSessionTickets off”, “SSLStaplingResponderTimeout 5″, “SSLStaplingReturnResponderErrors off” それに SSLStaplingCache のサイズを “128000” って感じ。それ以外は,対処済み。 before & afterSSL Labs でのテスト結果デス。

 ところで, glibc の脆弱性 (CVE-2015-7547) の話は既読?自鯖には直接は関係なさそうなんだが,我が家の旧いルータ君は大丈夫か知らん?一応,ベンダーさんとこに行ってみたんだが,まだ,何にもないね。

「覚え書-#29。」への7件のフィードバック

  1. おはようございます。
    今日は4月の陽気になるというので
    春用の服できましたがまださむいですw

    そして、やっとopensslの脆弱性が解消しましたね。
    apache2.4.19がでてそれで対応するのかとおもっていました。そろそろ次期バージョンがでてもよさそうなんですが・・・。

    glibcはバージョンアップ後に
    サーバーの再起動を推奨してるらしく昨日の夜21時に再起動。他のカーネルのアップデータがあったのですぐ再起動しておりました。

    ルータの方は会社も家もバッファローなんでここを確認していいます。こっちも再起動必要なのかな?

    http://jvn.jp/vu/JVNVU97236594/

    1. くりくりさん,おはようございます。

      今朝は雨ですが,それなりに暖かです。

      > ルータの方は会社も家もバッファローなんでここを確認していいます。
      jvn のリンク先が,ベンダーさんとこなんですよね。 jvn んとこは,いろいろなベンダーに関して全部載せてくれるんでありがたいんですが,我が家は何しろ 1 社だけしか関係ないもんで,直に見に行きます。昨年, GHOST 騒ぎがあったときの一覧がこれですが,結局影響なしとのことでした。でも, GHOST でこれらの機種が上がっているということは,バッファローのこのあたりの製品は glibc を使っているってことでしょう。

      > やっとopensslの脆弱性が解消しましたね。
      なんですよね。
      Apache のアップデートついでに, nghttp2 1.6.0 にしたので, nghttp2 を見に行ったら, v1.7.1 が出てたんで, Cygwin 上でビルドしてたら,はまっちゃいまして。 32bit はうまくいったのに, 64bit でこけちゃいました。今週の土日は時間がある予定なので,も一度チャレンジしてみようと思います。大分わかってきたんで,今回は人様の cygport ファイルを使わずにやってまして, 32bit でうまくいったんで,やったと思ったんですが(泣)。
      64bit の方が,初めの初めから使っていて,わからなくてごちゃごちゃやってたところなので,多分環境がぐちゃぐちゃなんですよ。うまくいかないのは,どうもそのせいの気がします。改めて構築しなおしててから,チャレンジしようと思っています。

  2. 今晩は

    ビルドうまくいったみたいでよかったです。それに最近は結構アクセスがありましてログはあまりみていません。どうぞご自由にお使いください。
    ただ、fail2ban導入してるのでやりすぎるとアクセス禁止になりますw

    keycdnはBrotliまで確認できるとかこれまた凄いですね。
    そのうちapacheも実装されるようになるでしょう。
    最後にサイトの移転お気遣いありがとうございます。

    1. くりくりさん,こんばんは。

      ありがとうございます。
      まりあちゃん,アップデートしました。ついでに, phpMyAdmin も 4.5.5 にアップデートしました。

      OpenSSL は一応 High みたいなので,種類によりけりだけど,そこまで大変ではないかもしれません。調べてる間に Critical になるってことがありませんように‼ リリースは 3/1 13:00-17:00 UTC の予定ということは, 3/1 22:00- 3/2 14:00 JST ということですね。

      ところで,本日の Security-NEXT のヘッドライン,すごすぎて笑っちゃいました。受けてる場合じゃないけど(苦笑)。
      特に,「砂嵐大作戦」とか(これの元記事って,これですかね,詳細レポートもある見たいだけと,長すぎて読む気にならない―汗),「MouseJack」の脆弱性とか。 Angler EK 氏も頑張っておられて。しかし, CMS の改竄の件は, JPCERT に出てた話ですが,改めて触れているということは最近増えているのでしょうか。これって,もとは WordPress の Plugin の脆弱性関連じゃなかったんでしたっけ?

  3. こんにちは

    今回はapacheの修正バージョンがすぐでるといいですね。やっぱりなんか脆弱性がある状態で運用するとおちつきません。まさに今wpでそれを味わっています。

    >砂嵐
    申し訳ありませんが、wpでいっぱいっぱいなんで
    ここら辺はスルーですw 

    >CMS の改竄の件

    これ以外にも他の脆弱性がありそうなんで
    wpをすべて最新にしたいのですが、テーマを最新にすると動作がおかしくなってしまう。月曜日に解決方法を探すつもりです。

    1. くりくりさん,こんにちは。

      なんかとってもお疲れさまのお話ですねぇ, WordPress の件。

      うちで使っているプラグインに Jetpack というのがあります。結構な複合プラグインですが, WordPress.com をやっている Automattic という会社がかかわっているらしいです。で,これの前バージョンから日本語ファイルが同梱されなくなって,どうしたんだろと思っていたのですが,一昨日リリースの 3.9.2 にも入ってなかったので,フォーラムで質問したんですよ。そしたら,最近は自動で落ちてくるんだって話なんですね。もちろん,プラグインのほうでその機能に対応しておかないといけないようですけど。自動で落ちてくるプラグインは,ここに上がっているものらしいですが,うちで使っているものは結構入ってて,驚きました。 bbPress なんかは,プラグインの中でも別格で,こんな感じでプラグインとは別項で挙げられています。
      ときどき,新しい翻訳がありますというメッセージがダッシュボードに出てきていたのには,気づいていたのですが,何となく,本体とテーマの翻訳だけと思い込んでいました。プラグインや APP にも対応していたんですね。チョーびっくりした,昨日の出来事です。

      脆弱性への対応ばかりではなく,こういうものも, WordPress 及び関連ソフトが新しい版でないと,利用できないですよねぇ。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください