Apacheに新たな脆弱性、各社がパッチリリース。
- http://www.itmedia.co.jp/enterprise/articles/0406/29/news010.html
- http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/06.html#20040618_tuiki
- http://www.apacheweek.com/features/security-13
- http://archive.apache.org/dist/httpd/patches/apply_to_1.3.31/CAN-2004-0492.patch
content_lengthが負の数だった時のチェックが入ってるっぽい。>修正版proxy_http.c
チェックの手間が増えるなら、content_lengthなんてunsignedでい〜じゃんとか思うけど。
ap_strtol()がlongを返すから、素直にそれに合わせるべきなんかいな〜
Turbolinuxは本日現在でまだっぽいな〜>修正パッチ
早く出ないかな〜
ま〜、ど〜せmod_proxy使わないからい〜けど。(ぉぃ