ヅラッシュ！ by NI-Lab.

Apache 2.2.22 を Apache 2.2.24 にアップデートしてみた。

動いている Apache 2.2.22 を停止。

$ su -
# /usr/local/apache2/bin/apachectl stop

新バージョン Apache 2.2.24 のソースコードをダウンロードしてインストール。configure は自分好みの設定で。

$ cd /usr/local/src/
$ wget http://www.apache.org/dist/httpd/httpd-2.2.24.tar.gz
$ tar zxvf ./httpd-2.2.24.tar.gz
$ cd httpd-2.2.24
$ ./configure --enable-mods-shared=all --enable-proxy=shared --enable-cache=shared --enable-disk-cache=shared --enable-mem-cache=shared
$ make
$ su
# make install

Apache を起動。

# /usr/local/apache2/bin/apachectl start

インストールした Apache の情報を出力。

# /usr/local/apache2/bin/apachectl -V
Server version: Apache/2.2.24 (Unix)
Server built:   Feb 27 2013 23:30:04
Server's Module Magic Number: 20051115:31
Server loaded:  APR 1.4.6, APR-Util 1.4.1
Compiled using: APR 1.4.6, APR-Util 1.4.1
Architecture:   64-bit
Server MPM:     Prefork
  threaded:     no
    forked:     yes (variable process count)
Server compiled with....
 -D APACHE_MPM_DIR="server/mpm/prefork"
 -D APR_HAS_SENDFILE
 -D APR_HAS_MMAP
 -D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
 -D APR_USE_SYSVSEM_SERIALIZE
 -D APR_USE_PTHREAD_SERIALIZE
 -D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
 -D APR_HAS_OTHER_CHILD
 -D AP_HAVE_RELIABLE_PIPED_LOGS
 -D DYNAMIC_MODULE_LIMIT=128
 -D HTTPD_ROOT="/usr/local/apache2"
 -D SUEXEC_BIN="/usr/local/apache2/bin/suexec"
 -D DEFAULT_PIDLOG="logs/httpd.pid"
 -D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
 -D DEFAULT_LOCKFILE="logs/accept.lock"
 -D DEFAULT_ERRORLOG="logs/error_log"
 -D AP_TYPES_CONFIG_FILE="conf/mime.types"
 -D SERVER_CONFIG_FILE="conf/httpd.conf"

これで無事にアップデート完了。

事前に旧バージョン(Apache 2.2.22)のファイルをコピーしてバックアップしておいたので、新しくアップデートされたファイルと diff で比較してみたら、700個ぐらいのファイルが異なっていた。

conf ディレクトリにある設定ファイルや logs ディレクトリにあるログファイルは上書きされていなかったので安心。

2013年2月26日、セキュリティ修正等を含む　Apache HTTP Server 2.2.24 がリリースされました

セキュリティの修正等を含む Apache HTTP Server 2.2.24 がリリースされました。ダウンロードは公式サイトから。CVE の割り当てられたセキュリティ上の修正は以下の2つとなっていますが、本記事最後で触れている SSLCompression ディレクティブの追加も SSL に関する攻撃に関連するようです。

・mod_info、mod_status、mod_imagemap、mod_ldap、および mod_proxy_ftp において出力される HTML でホスト名が適切にエスケープされないため、XSS の問題が発生していたのを修正しました。Apache HTTP Server 2.4.4 でも同様に修正されます。 (CVE-2012-3499)

・mod_proxy_manager の管理インターフェイスで XSS の問題があったのを修正しました。これも Apache HTTP Server 2.4.4 でも同様に修正されます。 (CVE-2012-4558)

Apache HTTP Server 2.2.24 がリリースされました — 日本 Apache ユーザー会

Ref.

• [ヅ] Debian squeeze に Apache 2.2.22 をソースからインストール(all, mod_proxy, mod_cache) (2012-03-07)
• Welcome! - The Apache HTTP Server Project

tags: apache debian

Posted by NI-Lab. (@nilab)