블로그 이미지
News and Announcements (at) Apache Software Foundation. 노안돼지
Apache Software Foundation The Apache User Group KLDP From download

Recent Post»

Recent Comment»

Recent Trackback»

Archive»

« 2024/5 »
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31
 
 
아파치 소프트웨어 재단은 아파치 오픈 소스 소프트웨어 프로젝트 커뮤니티 지원을 제공합니다.
아파치 프로젝트는 협업과 개발 프로세스를 기반으로 하는 상호간의 공감대와 개방되어 있는 실용적인 소프트웨어 라이센스, 그 분야에서 선두를 달릴 수 있는 고품질 소프트웨어 개발을 추구하고 있습니다.

우리는 심플한 서버 공유 프로젝트의 모임이라고도 하지만 오히려 개발자와 사용자간의 커뮤니티라고 생각합니다.

Apache HTTP Server 1.3.42 릴리즈 (1.3.x버전의 마지막 릴리즈)

뉴스/소식 | 2010. 2. 3. 13:43 | Posted by 노안돼지

아파치 소프트웨어 재단과 아파치 HTTP Server 프로젝트에서 Apache HTTP Server 1.3.42를 릴리즈 하였습니다.
이 릴리즈는 Apache HTTP Server 1.3버전대의 마지막 릴리즈입니다.

앞으로 더이상 Apache HTTP Server 1.3의 릴리즈는 없을 것입니다. 하지만, 중요한 보안 문제등에 대해서는 지속적으로 아래 웹사이트 에서 업데이트 될 것입니다.

       http://www.apache.org/dist/httpd/patches/


Apache 1.3.42는 아래 웹사이트에서 다운로드 받으실 수 있습니다.

       http://httpd.apache.org/download.cgi


Apache HTTP Server 1.3는 여러분들이 도와주시고 힘써주신 덕분에 성공적으로 프로젝트를 진행해왔고, 그리고 이 땅의 대표 웹서버로서 발돋움하게 되었습니다.

감사합니다.


 

저작자표시 비영리 동일조건
:

Apache HTTP Server 2.3.5-alpha 릴리즈

뉴스/소식 | 2010. 1. 29. 13:35 | Posted by 노안돼지

Apache HTTP Server 2.3.5-alpha Released

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.3.5-alpha of the Apache HTTP Server ("Apache").  This version of Apache is principally an alpha release to test new technology and features that are incompatible or too large for the stable 2.2.x branch. This alpha release should not be presumed to be compatible with binaries built against any prior or future version.

Apache HTTP Server 2.3.5-alpha is available for download from:

 http://httpd.apache.org/download.cgi

Apache 2.3 offers numerous enhancements, improvements, and performance boosts over the 2.2 codebase.  For an overview of new features introduced since 2.3 please see:

 http://httpd.apache.org/docs/trunk/new_features_2_4.html

Please see the CHANGES_2.3 file, linked from the download page, for a full list of changes.

This release includes the Apache Portable Runtime (APR) version 1.4.2 and APR-Util version 1.3.9 in a separate -deps tarball.  The APR libraries must be upgraded for all features of httpd to operate correctly.

This release builds on and extends the Apache 2.2 API.  Modules written for Apache 2.2 will need to be recompiled in order to run with Apache 2.3, and require minimal or no source code changes.

 http://svn.apache.org/repos/asf/httpd/httpd/trunk/VERSIONING

저작자표시 비영리 동일조건
:

Apache HTTP Server 2.2.14 릴리즈

뉴스/소식 | 2009. 10. 7. 08:21 | Posted by 노안돼지

The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 2.2.14 of the Apache HTTP Server ("Apache").  This version of Apache is principally a security and bug fix release.  Notably, this version bundles the APR Library version 1.3.9, which addresses a security concern with the Prefork and Event MPMs on Solaris 10.

  We consider this release to be the best version of Apache available, and encourage users of all prior versions to upgrade.

  Apache HTTP Server 2.2.14 is available for download from:

    http://httpd.apache.org/download.cgi

  Apache 2.2 offers numerous enhancements, improvements, and performance boosts over the 2.0 codebase.  For an overview of new features introduced since 2.0 please see:

    http://httpd.apache.org/docs/2.2/new_features_2_2.html

  Please see the CHANGES_2.2 file, linked from the download page, for a full list of changes.  A condensed list, CHANGES_2.2.14 provides the complete list of changes since 2.2.14. A summary of security vulnerabilities which were addressed in the previous 2.2.13 and earlier releases is available:

    http://httpd.apache.org/security/vulnerabilities_22.html

  Apache HTTP Server 1.3.41 and 2.0.63 legacy releases are also currently available.  See the appropriate CHANGES from the url above.
  See the corresponding CHANGES files linked from the download page.
  The Apache HTTP Project developers strongly encourage all users tomigrate to Apache 2.2, as only limited maintenance is performed on these legacy versions.

  This release includes the Apache Portable Runtime (APR) version 1.3.9 bundled with the tar and zip distributions.  The APR libraries libapr and libaprutil (and on Win32, libapriconv) must all be updated to ensure binary compatibility and address many known security and platform bugs.

  This release builds on and extends the Apache 2.0 API.  Modules written for Apache 2.0 will need to be recompiled in order to run with Apache 2.2, and require minimal or no source code changes.

    http://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/VERSIONING

  When upgrading or installing this version of Apache, please bear in mind that if you intend to use Apache with one of the threaded MPMs (other than the Prefork MPM), you must ensure that any modules you will be using (and the libraries they depend on) are thread-safe.

저작자표시 비영리 동일조건
:

Apache HTTP Server 2.2.13 릴리즈

뉴스/소식 | 2009. 8. 11. 11:00 | Posted by 노안돼지


The Apache Software Foundation and the Apache HTTP Server Project are
  pleased to announce the release of version 2.2.13 of the Apache HTTP
  Server ("Apache").  This version of Apache is principally a security
  and bug fix release.  Notably, this version bundles the APR Library
  version 1.3.8 and APR Utility Library version 1.3.9, which address
  a security concern which may be triggered by some third party modules.

  We consider this release to be the best version of Apache available, and
  encourage users of all prior versions to upgrade.

  Apache HTTP Server 2.2.13 is available for download from:

    http://httpd.apache.org/download.cgi

  Apache 2.2 offers numerous enhancements, improvements, and performance
  boosts over the 2.0 codebase.  For an overview of new features
  introduced since 2.0 please see:

    http://httpd.apache.org/docs/2.2/new_features_2_2.html

  Please see the CHANGES_2.2 file, linked from the download page, for a
  full list of changes.  A condensed list, CHANGES_2.2.13 provides the
  complete list of changes since 2.2.12. A summary of security
  vulnerabilities which were addressed in the previous 2.2.12 and earlier
  releases is available:

    http://httpd.apache.org/security/vulnerabilities_22.html

  Apache HTTP Server 1.3.41 and 2.0.63 legacy releases are also currently
  available.  See the appropriate CHANGES from the url above.  See the
  corresponding CHANGES files linked from the download page.  The Apache
  HTTP Project developers strongly encourage all users to migrate to
  Apache 2.2, as only limited maintenance is performed on these legacy
  versions.

  This release includes the Apache Portable Runtime (APR) version 1.3.8
  bundled with the tar and zip distributions.  The APR libraries libapr
  and libaprutil (and on Win32, libapriconv) must all be updated to ensure
  binary compatibility and address many known security and platform bugs.

  This release builds on and extends the Apache 2.0 API.  Modules written
  for Apache 2.0 will need to be recompiled in order to run with Apache
  2.2, and require minimal or no source code changes.

    http://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/VERSIONING

  When upgrading or installing this version of Apache, please bear in mind
  that if you intend to use Apache with one of the threaded MPMs (other
  than the Prefork MPM), you must ensure that any modules you will be
  using (and the libraries they depend on) are thread-safe.

저작자표시 비영리 동일조건
:

불안전한 다중 HTTP 접속 요청에 의한 서비스 거부 공격 주의

알림 | 2009. 6. 23. 09:44 | Posted by 노안돼지
안철수연구소 보안 대응 전문 조직에서 ASEC에서 알려드리는 최신 취약점에 대한 분석정보와 보안패치 정보입니다.

원문
http://kr.ahnlab.com/virusNIAsecAdvisor_View.ahn?news_dist=02&site_dist=01&category=VNI002&mid_cate=001&sub_cate1=&sub_cate2=&cPage=1&seq=14553&key=&related=


제목 : 불안전한 다중 HTTP 접속 요청에 의한 서비스 거부 공격 주의

개요
최근 인터넷에 HTTP 프로토콜에 불안전한 요청을 통해 웹 서비스가 서비스 거부(DoS)에 빠지는 공격도구가 공개되었다. 해당 도구를 이용한 공격방식은 과거에도 사용된 적이 있으며, 최근 이를 이용한 도구가 공개되며 악의적으로 이용될 가능성이 높아 사용자들의 주의가 요구된다.

공격유형
서비스 거부공격

해당 시스템
현재까지 영향을 받는 알려진 소프트웨어는 아래와 같다.

Apache 1.x
Apache 2.x
dhttpd
GoAhead WebServer
Squid

영향
공격자는 해당 도구를 이용하여 대상 시스템의 웹 서버에  서비스 거부 공격을 수행할 수 있다. 이로 인해 정상적인 웹 서비스 운영을 방해한다.

설명
이번 공격은 특정 소프트웨어의 취약점이 아니다. HTTP 프로토콜의 구조적인 부분을 이용한 공격으로서, 공격자가 웹 서버에 접속 요청을 할 때 연결을 해지하지 않고 지속적으로 같은 요청을 반복해 연결세션을 생성한다. 웹 서버에서 정의된 한계만큼 세션이 접속되어 사용자는 더 이상 접속을 수행할 수 없게 된다. 예를 들면 공격자는 아래와 같은 정상적인 HTTP 요청을 수행한다.

GET / HTTP/1.1\r\n
Host: host\r\n
User-Agent: Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 5.1; Trident/4.0;)\r\n
Content-Length: 42\r\n

이때 서버는 연결을 오픈하고 기다리지만 공격자는 연결을 계속 유지하기 위해 임의의 추가적인 헤더를 보내 연결을 해지하지 않는다. 이와같은 요청이 계속될 경우, 연결은 급격하게 증가하게 되어 서비스 거부 상태가 된다. 이 같은 방법은 오래전부터 알려져 있던 공격방법중의 하나였으나, 최근 아파치 DoS 공격도구라는 이름으로 공개되어 이의 악의적 사용이 우려된다.

이 공격의 특징은 대량의 트래픽을 전달하지 않는다는 점이다. 일반적인 공격에 이용되는 DoS방법은 대량의 트래픽을 전달하여 라우터 및 전체 네트워크까지 영향을 미치지만, 이 공격은 아주 적은 트래픽으로도 HTTP서버에 서비스 거부 상태를 만들 수 있다. 그러므로, 트래픽이 크게 증가하지 않더라도 이 공격에 예의주시하여야 한다.

현재까지는 이 공격이 와일드하게 이뤄지고 있다는 증거는 발견되지 않고 있다.

차단정보
이 공격은 취약점을 이용한 것이 아니라 HTTP의 구조형식에 의한 것이므로, 차단은 제한적이다.
다만, 트러스가드(TrusGuard)는 해당 공격도구의 패턴 차단을 제공하고 있다.

해결책
이 공격의 피해를 최소화하기 위해서는 다음과 같은 방법을 고려할 수 있다. 단, 여기의 모든 방법들은 동일한 해결책이 될 수 없다. 현재 운영하고 있는 웹 서버의 구성과 네트워크 상황에 따라 달라지므로, 위협을 최소화할 수 있는 방안을 논의하여 적용할 것을 권고한다. 잘못된 적용은 웹 서버의 운영에 큰 문제를 야기할 수 있다.

  1. 웹 서버의 Timeout을 낮게 설정해 HTTP 요청 후 연결이 빨리 끊어지도록 할 수 있다. 기본적으로 아파치 웹 서버는 300초의 Timeout을 가지고 있다.
  2. IPTable 등과 같은 방화벽을 통해 동시접속을 제한한다. 또는 로드밸런스 등이 영향을 최소화할 수 있다.
  3. 웹 서버의 지속적인 관찰이 필요하다.
  4. 특정 IP에서 공격이 이루어지는 경우 해당 IP를 차단하여 공격을 방어한다.


참고정보
[1] Apache HTTP Dos tool released - http://isc.sans.org/diary.html?storyid=6601

NO WARRANTY
이 권고문은 (주)안철수연구소의 ASEC에서 국내 인터넷 보안의 발전을 위해 발표하는 보안 권고문이다. (주)안철수연구소는 이 권고문에 포함되어 있는 내용 및 기타 어떠한 결과에 대해서도 보장하지 못하며, 책임을 지지 않는다.

ASEC Contact Information
Email : asec@ahnlab.com
Copyright 2002-2009 ASEC. All Rights Reserved.




저작자표시 비영리 동일조건
:
 

티스토리툴바