本家のお世話-#115。（CVE-2015-1793 に対処のため Apache のアップデート）

　Apache 2.4.12 (httpd-2.4.12-win32-VC14.zip) を 2015.7.9 版にアップデートした。 Alternative chains certificate forgery (CVE-2015-1793) に対処するためである。

　2015.7.9 版は ‘IPv6 Crypto apr-1.5.1 apr-util-1.5.4 apr-iconv-1.2.1 openssl-1.0.2d zlib-1.2.8 pcre-8.37 libxml2-2.9.2 lua-5.1.5 expat-2.1.0′ でビルドされている。そんでもって， Changelog。
　この版は， Windows® Visual Studio C++ 2015 RC 別名 VC14 がないと動かない。私は， 6/2　から VC14 版に替えた。 OpenSSL 1.0.2 系を使うためである。そんなわけで，同版を使われる場合は，前もって忘れずに vc_redist_x64/86.exe をインストールのこと。

　いつもながら， Steffen には，頭が下がる。本当にありがとうございます。

　ところで， phpMyAdmin 4.4.11 と MariaDB 10.0.20 へのアップデートもやった。

　phpMyAdmin については 2 つばかり気づいたことがある。 4.4.10 からダウンロード先が， sourceforge.net から phpmyadmin.net に変わった。 4.4.11 からは MD5/SHA1 だけでなく， GPG も利用できるようになった。 sourceforge と phpmyadmin 間でなんかあったんかいネ。

o6asan

Next 回覧板-マイナンバーが通知されます。 »

Previous « 昨日， FireFox 39.0 がやってきた。

View Comments

くりくり says:

2015年7月11日 at 8:23 PM

今晩は

2015.7.9 版とかwindows版は色々大変そうです。
本当opensslも不具合おおいですな。
でもopensslがどうなるかわかりませんがtlsが廃れて
googleのquicがなんてこともあるのかも？
mod_quicなんてでたりして（ｗ

さて、今回は俺の方もo6asanさんと同じapacheのsslです。
https://www.ssllabs.com/ssltest/

ここで会社用のサーバーでsslをテストするとIncorrect SNI alertsのどうたらこうたらとエラーがでました。

原因はVirtualHostディレクティブにipをいれていたので

これが原因。
しかし、この設定をしてしまうとserver-statusの情報が取得でできなくなってしまうのでmuninがうごきません。そこでhttp://サーバーのipに変更これで解決。

それとvirtulhostはアスタリスクにします。
- o6asan says:
  
  2015年7月11日 at 10:26 PM
  
  くりくりさん，こんばんは。
  
  > mod_quicなんてでたりして（ｗ
  うん，ありうるかもしれない。ネットの世界は，どこかが，優れたものを開発すると，全体が後追いをし， RFC が出るみたいなところがありますからね。
  
  > さて、～アスタリスクにします。
  の話が，よく見えないです。単なる知識不足か（汗）， Munin を使ったことがないせいか，はたまた，くりくりさんがご利用の証明書の仕様がよくわからないせいなのか。
  Apache のバージョンは，何ですか。　SNI 関係は，細かいバージョンの違いで挙動が違うでしょう？
くりくり says:

2015年7月12日 at 9:40 AM

おはようございます。

>単なる知識不足か（汗）
すいません名前わすれていました。
ひとつのipで複数のバーチャルホストを運用する場合
名前ベースのバーチャルホストといいますよね。

http://httpd.apache.org/docs/2.2/ja/vhosts/examples.html
うちはipひとつしかないのに
複数の IP アドレスのあるホストで名前ベースのホスティングを行なうの設定していたのでSNIがどうこうとかエラーがでてしまった。

なんでこんなconfにしたのかしらんけど、
前任者からこの設定でコピーしてるので今回のSNIの関係でもうipはかきこみません。

次にmuninですがでデフォルトで
muninはapacheを監視する場合,curl ttp://127.0.0.1を実行します。

ただconfファイルを変更するとこのurlにアクセスできなくなりますのでmunin側でhttp://サーバーのグローバルipに変更する必要がでてきます。

それとphp7.0beta1ためしましたら、
apacheではphp5のモジュールが読み込めないというエラーがでるし
php-fpmの方はwordpressにログインできなくなりました。
- o6asan says:
  
  2015年7月12日 at 3:44 PM
  
  くりくりさん，こんにちは。
  
  Munin は全く使ったことがないのでわかりませんが，
  > Apache のバージョンは，何ですか。
  とお聞きしたのは， 2.2 の Docs では Why is it not possible to use Name-Based Virtual Hosting to identify different SSL virtual hosts? となってて， 2.4 では Is it possible to use Name-Based Virtual Hosting to identify different SSL virtual hosts? となっているからなのです。
  
  会社は， DDNS　ではなく，固定 single IP なのでしょう？それなのに， * にしないとエラーが出るというのがどうも納得がいかなくて……。
  
  > http://httpd.apache.org/docs/2.2/ja/vhosts/examples.html
  にもあるように，
  NameVirtualHost 172.20.30.40
  <VirtualHost 172.20.30.40>
  というようなことではだめなのでしょうか。
- o6asan says:
  
  2015年7月13日 at 12:10 AM
  
  くりくりさん，こんばんは。
  
  追記です。
  くりくりさんのところの記事を読んでまいりました。下記の件， ServerAlias ディレクティブを使うのでは回避できないだろうかと思いましたが，見当違いでしょうか。
  
  > <VirtualHost 111.22.33.44:443>でipをいれると
  > Incorrect SNI alertsが出力される。
  > <VirtualHost *:443>でアスタリスクにすると
  > wwwなしで検索するとlocalhostの証明書エラー
くりくり says:

2015年7月13日 at 12:41 PM

こんにちは

> ServerAlias ディレクティブを使うのでは回避できないだろうかと思いました

今新サーバーのコンソールログインが出来なくなって
そちらの対応中なんですが（旧に忙しくなった・・・。）

ちとごちゃごちゃしているので整理しますと
NameVirtuaHostlディレクティブは2.4では使えるぽいけど警告がでるのでこれは使いません。

改めて自分のサーバーでwebサーバーをapacheにしてsuperweibu.comとnetを同じconfファイルにして試してみました。

*の場合
apache2.4 superweibu.com
SSL Report: superweibu.com (160.16.70.51)
Incorrect SNI alerts -
apache2.4 superweibu.net
SSL Report: superweibu.net (160.16.70.51)
Incorrect SNI alerts -

もちろん脆弱性対策していませんので評価はＣです。

次に証明書インストールチェッカー
https://www.cman.jp/network/support/ssl.html

com
wwwありでチェック問題なし
なしでチェック検証できません。
net
wwwあり問題なし
なし問題なし

★次はipアドレス

apache2.4 superweibu.com
SSL Report: superweibu.com (160.16.70.51)
Incorrect SNI alerts -
apache2.4 superweibu.net
SSL Report: superweibu.net (160.16.70.51)
Incorrect SNI alerts -

次に証明書インストールチェッカー
com
あり問題なし
なし問題なし
net
あり問題なし
なし問題なし

以上の結果からipアドレスを入れた方がいいかもしれません。
しかし、会社用は不思議なことにSNIのエラーが（ＧＭＯの設定なのか？)ここはでてします。なんかあるんでしょうね。
- o6asan says:
  
  2015年7月13日 at 1:53 PM
  
  くりくりさん，こんにちは。
  
  > 今新サーバーのコンソールログインが出来なくなって
  それは，大変ですね。お疲れさまです。こちらのほうの書き込みは，そちらのケリがついてからでも，よろしくお願いします。
  
  SNI ってようやくサポートが整ってきたところという感じなので，Apache2.4.12 + openssl-1.0.2 系と Apache2.4.6 + openssl-1.0.1 系では動きが微妙に異なるかもしれませんが，さっき確認した自鯖の ssl.conf 上の VirtualHost ディレクティブの関連部分の設定をここに載せます。下のようになっていました。自鯖では NameVirtualHost ディレクティブは使っていません。
  <VirtualHost 192.168.xxx.xxx:443>
  ServerName o6asan.com
  ServerAlias www.o6asan.com
  
  うちの自前証明書の subjectAltName は o6asan.com と www.o6asan.com になっています。私が，ブラウザから https://www.o6asan.com/ にアクセスすると警告なしに， https://o6asan.com/ が表示されます。自前証明書なので，他の方がアクセスするとふつうに警告が出ますが……
  設定されていない名前，例えば， https://test.o6asan.com/ とかでブラウザからアクセスすると，私がやった場合でも，警告がでます。 https については， .htaccess による ReWrite 設定は全くやっていません。
  
  http://test.o6asan.com/ だと無問題で， http://o6asan.com/ が表示されます。
  
  また， DNS 上の Host Records は DDNS の件をクリアするため， * になっています。
くりくり says:

2015年7月13日 at 8:32 PM

今晩は

筐体変更になりそうです。
またupdateしたら同じ症状が出たら困るので
原因を教えてもらってます。
さて、今回のSNIのエラーがでたのは
このログインできないサーバーなんですよね。

VirtualHostというかapacheのconfファイルは関係なさそうです。
自分のところでやる同じような設定にすると問題なし、新サーバーでsuperweibu.netを検証しましたがSNIのエラーはなしサーバー用のドメインだけエラーがでたということです。
しかも、例の厳しい所ですからね。
他のチェックサイトも何もでてませんから
ipアドレスの設定だけでいいのかもしれません。

追記flashplayerやばいですね。

http://www.security-next.com/060529
http://www.security-next.com/060536
http://www.security-next.com/060521
- o6asan says:
  
  2015年7月13日 at 10:03 PM
  
  くりくりさん，こんばんは。
  
  > 筐体変更になりそうです。
  ハードごと取り替えちゃうんですか！？ update したものを元に戻すより，新しく提供したほうが楽ということですかねぇ？
  
  > 今回のSNIのエラーがでたのは
  > このログインできないサーバーなんですよね。
  筐体変更になる点といい，なんか，特殊なことがありそうだと，勘ぐってしまいます。
  
  > VirtualHostというかapacheのconfファイルは関係なさそうです。
  ですねぇ。 Apache 2.4.6 以降だと，特に Workaround は必要なさそうな気がします。自鯖でも，特別なことはやってません。
  
  > ipアドレスの設定だけでいいのかもしれません。
  だと思います。固定 IP なのに， * にしなくてはいけないなんておかしいですよ。
  
  それにしても，週明け早々，お疲れさまでした。
- o6asan says:
  
  2015年7月13日 at 10:13 PM
  
  追記です。
  
  くりくりさんのコメントの編集とかぶってしまいました。
  
  > 追記flashplayerやばいですね。
  >
  > http://www.security-next.com/060529
  > http://www.security-next.com/060536
  > http://www.security-next.com/060521
  
  本当に，引き続きますね。しばらく，無効化しておいたほうがいいとおもいます。まあ，ほかのにも脆弱性はあるんでしょうが，狙われ方が半端じゃないですよね。
くりくり says:

2015年7月15日 at 11:12 AM

こんにちは

筐体変更で新サーバーになりましたが、
このipかなりやばいです。

一秒に4回か5回DNSアンプ攻撃をうけてるので
fail2banで対処しようとおもいましたが、遮断するipが多すぎるのでfail2banがかなりおもたくなります。とても対処とれません。
攻撃者はどれくらいipもってるか憶測がつきませんが
恐らく1000以上はコントロールできるんじゃないだろうか？

もうポート自体を閉じるしか対処方法がありません。
# iptables -L なんてやるとＢＡＮしたip多すぎて出力時間がかかりすぎます。
それとflashplayerはバージョンアップがきていましたね。

追記、筐体変更自体やめました。
触らぬ神にたたりなしです。
逃げるが勝ちです。
- o6asan says:
  
  2015年7月15日 at 9:13 PM
  
  くりくりさん，こんばんは。
  
  DNS amp 攻撃というのは， DNS サーバのキャッシュ機能を利用するものでしたよね。レンタルサーバに内包されている DNS サーバがキャッシュサーバとして働くようになっているのですか。どこの IP からの問い合わせにも答える形になっていると，オープンリゾルバというんでしたっけ。
  
  そんな状態だったのでしょうか？
  
  > このipかなりやばいです。
  いわくつきの IP かもしれないですね。触らないで通れるなら，そのほうがいいかも。
  何にしてもお疲れさまでした。
  
  そうそう， Adobe Flash Player のバージョンアップも Windows Update も無事に終わりました。やれやれ。
くりくり says:

2015年7月17日 at 9:12 AM

おはよう
ございます。

>そんな状態だったのでしょうか？
はい、ただ、数がひどすぎ・・・。
fail2banで弾いていても負荷があがりすぎです。
恐らく以前つかっていたipのサーバーかなんかがずさんだったんでしょうね。

flash playerもおわり、
マイクロソフトの脆弱性も今回のupdateで解消されていたし、後はjavaとadobe readerもバージョンアップと結構めじろおしでした。

さて、おかげさまでサーバーの移転がおわりました。
これでSNIに対応とれるサーバにできたし、http/2にも対応とれるかも？

それとopensslの脆弱性をつかれて
http://www.security-next.com/060727

sslにしてもこういう情報を扱わないだけ
うちはましなのかもしれません。
- o6asan says:
  
  2015年7月17日 at 11:52 PM
  
  くりくりさん，こんばんは。
  
  それにしても，新サーバの件，連休前に終わって何よりでした。本当に，お疲れさまでした。
  
  > sslにしてもこういう情報を扱わないだけ
  > うちはましなのかもしれません。
  こういう件が，一般消費者としては，なんとも怖いです。自分のサーバと違って，対処が難しいです。といって，オンラインに全く情報を上げないということも，無理な時代です。自分では，オフラインだけで使用しているつもりでも，取引先の会社がオンラインで情報を保存しているのは当たり前の時代ですからねぇ。しかも，そのオンラインというののセキュリティが，ざるというのも，大いにあり得ますから（溜息）。
  
  ところで，今日， FileZilla をアップデートしようとしたら，新バージョンが落ちてきませんで，まあ後でもいいかと思ってたのですが，夜には Broken Link Checker が prdownloads.sourceforge.net/awstats/awstats-7.1.zip のリンク切れを報告してきまして，あれっと思って確認したら，こういうことらしいです。 SourceForge goes TITSUP thanks to storage fault という記事もありました。笑っちゃかわいそうなのですが，リンク先の記事の最後の一文はなんとも言えません。
くりくり says:

2015年7月20日 at 9:43 PM

今晩は
php5.6.11がきてまいました。
http://www.php.net/ChangeLog-5.php#5.6.11
webtaticは記事もないしいきなりバージョンアップは珍しいです。普通はtest.repoかなんかで公開してからなんですけどね。おまけにphp7.0のbeta1がtestにあるのに記事がなんもありません。23日にBeta 2がでるたみたいです。
- くりくり says:
  
  2015年7月21日 at 9:58 AM
  
  追記
  
  おかげさまでSNIのエラー解決できました。
  原因はssl.confのdefaulが原因でした。
  defaultからipに変更したら問題なしです。
  
  apacheのエラーをデバックレベルまでさげて初めてわかりました。ログはいかになります。
  
  ssl_engine_kernel.c(1885): [client 64.41.200.106:51893] AH02044: No matching SSL virtual host for servername sni-test.ssllabs.com found (using default/first virtual host)
  
  もうこういうことは勘弁してほしいですね。
  - o6asan says:
    
    2015年7月21日 at 3:30 PM
    
    くりくりさん，こんにちは。
    
    PHP 5.6.11， 7/10 に出てたんですね。気づいていませんでして，先ほど更新しました。お知らせいただきありがとうございました。主なのは CVE-2015-3152 のようですが，これは mysqlnd 関連みたい。
    
    > php7.0のbeta1がtestにあるのに記事がなんもありません。
    記事というのは， PHP 7.0.0 Beta 1 Released のことですか，または別のもののことでしょうか。リンク先のことだと，今はありますが，多分，遅く出たんでしょう。 PHP 7.0.0 Beta 1 の件は，実働サイトに関係する PHP 5.6.11 や PHP 5.5.27 や PHP 5.4.43 の件ほど急がなくていいということでしょうかねぇ。
    
    > おかげさまでSNIのエラー解決できました。
    おめでとうございます。
    
    > 原因はssl.confのdefaulが原因でした。
    ムムム，話が微妙に分からない。
    <VirtualHost _default_:*> あるいは <VirtualHost _default_:xxx> の行があったという意味ですか。 <VirtualHost _default_:*> だと，この行より前に他のバーチャルホストの設定がないかぎり，このディレクティブの設定がすべてに使われますよね。
    ポート固定の _default_ つまり <VirtualHost _default_:443> とかがあって，他にバーチャルホストの設定がない場合は， 443 以外は主サーバに問い合わせが行くんじゃなかったっけ。
    
    複数のバーチャルホストでの SSL 設定を細かくやったことがないので，今一つピンと来てないのですが，上記の場合の主サーバの設定というのは， ssl.conf の VirtualHost ディレクティブの外か，メインの conf で定義されてる部分ですよね。そうすると，主サーバで SSL を処理するためには， SSLEngine on が， ssl.conf の VirtualHost ディレクティブの外か，メインの conf で定義されてる部分で入っていないといけないはずです。しかし，標準状態だと，入ってないのではないですか？
    
    > No matching SSL virtual host for servername
    > sni-test.ssllabs.com found (using default/first virtual host)
    sni-test.ssllabs.com にマッチするバーチャルホストを探してるようですが，このあたりも，よくわからないです。これは，どういう操作をやったときに出るログなんですか？ sni-test.ssllabs.com という名称からすると， sslabs.com には関係するでしょうが，くりくりさんのところの SNI には関係ない気がするんですが……
    確認したところ， 64.41.200.106 は Qualys が持ってる IP みたいですね。
    
    質問ばかりで，申し訳ないです。お時間のあるときにでもよろしくお願いします m(_"_)m。
くりくり says:

2015年7月21日 at 4:25 PM

こんにちは

>原因はssl.confのdefaulが原因でした。
これはおまけだったのかも？

解決はできましたが、
原因がまだはっきりしませんので推量の部分があります。その辺はご容赦を

どこでこのような設定になったのかわかりませんが、localhostというSeverNameと俺が管理すホスト名のSeverNameのconfファイルが本来同じはずだったのがなぜか2つできあがってしまっていました。
その結果ふたつのsslサイトになっていたぽいです。また、証明書もふたつあるのでさらに混乱に拍車をかけてしまいましたね。

こんな状態でssllbasでしらべるとこのサーバーっＳＮＩでsslサイトふたつあるの？それとも設定まちがい？見たいな感じエラーが出たのだと思います。下記ログはssllbasで会社サーバーを検索かけた時にサーバーに出力したログです。

No matching SSL virtual host for servername sni-test.ssllabs.com found (using default/first virtual host)

そういうことでssl.confの方を編集してlocalhostは出力できないように変更してやっと落ち着いたところです。

簡単なまとめなんですが、
GMOクラウドのCentOS7で複数のsslサイトだと俺と同じ現象におちいるかもしれません。

追記ディレクティブの質問なんですが、これは答えられません。
さくらVPSでsuperweibu.comとsuperweibu.netを同じようにつくると問題なくうごきました。しかし、GMOだとエラーがでてしまうんですよ。
- o6asan says:
  
  2015年7月21日 at 10:46 PM
  
  くりくりさん，こんばんは。
  
  早速，ありがとうございました。なかなか，すっきり行かないもののようで， SSL は大変ですね。
  
  そういえば，「Windows の Adobe Type Manager モジュールに特権昇格の脆弱性」のパッチ， MS15-078 - 緊急ということで，定例外で来てましたよ。
くりくり says:

2015年7月22日 at 10:28 AM

こんにちは

apache2.4でSNIを使った複数のhttpsサイトを
ネットで調べてもみつかりません。

あったとしてもほとんど一つのサイトです。
SNIの2.2はまぁ結構あるんですけどね。
sslが広まってapache2.4が普及して
これからなんでしょうか？

>すっきり行かない
はい、サーバー用ドメインだけSNIのエラーがでて
他のドメインも検証しましたが、SNIのエラーはでませんでした。つまり、サーバー用のホストネームを使うサイトは俺と同じ現象になる可能性もあるので
すっきりさせたいところです。
他にもawstatsも動かなかったのもいつのまにか
うごいていたし（ｗ

さくらVPS,海外サーバー,GMOクラウドとCentOS7でつくりましたがこの現象がでたのはGMOクラウドだけです。

マイクロソフトはこれかなりやばいみたいので社員にも話早急にアップデートしました。
- o6asan says:
  
  2015年7月22日 at 8:56 PM
  
  くりくりさん，こんばんは。
  
  > これからなんでしょうか？
  なのかもしれませんね。しかし，このままという可能性も（苦笑）。ご存知のように， Apache は 2.4 の出遅れもあって，シェアが落ちてるじゃないですか。慣れ親しんだユーザとしては，挽回してほしいですけどね。
  
  > さくらVPS,海外サーバー,GMOクラウドとCentOS7で
  > つくりましたがこの現象がでたのはGMOクラウドだけです。
  スッキリさせたい懸案になりそうですね。くりくりさんですから，いつの日か解決されるんでしょう（祈＆期待）。
  
  > マイクロソフトはこれかなりやばいみたい
  ホントに!! MS のパッチ提供の素早さも流石と言うところでした。