DigiLoog

本職とリアルが忙しく今回のコミケ冊子は出さない予定だったが、
折角確保出来たサークルスペースなのでページ数が少な目の冊子を書く事にした。
現時点で草稿を7割記載出来ているのでギリギリ進行だが、
恐らく12ページの3枚中綴じで何冊か持って行く事になりそう。
来週にはお品書きを出せる様に執筆内容の追い込みとホチキス止めに入らねば。

筆者が古くから運用している自鯖システムの中でも歴史の長い物がDNSとメールとなる。
サーバを作り直すタイミングでシステム全体をリビルドする事はあったものの、
ゲートウェイは2台以上でフルアクティブ化して、MDAはアクティブ・スタンバイを基本としている。
また、ns-lab BBのメールはこれらのメールゲートウェイを経由して送受信する様に構成しており、
基本的に限られたIPアドレスからのみ他ドメインへ送付する様に構成している。

筆者の様な極小自鯖でもメールアドレス詐称をする輩はいるもので、
ちょくちょくとDMARCレポートに引っ掛かっているが、
連日となると相手にするのも大変なのでSPFをsoftfailからhardfailに変更してみた。

負荷分散とリバプロを兼ねてHAProxyを利用している自鯖だが、
ACLを地位部バイパスされると思われる脆弱性が先日見つかった。

JPCERT/CCのメーリングリストに載った事で筆者も気づき、急ぎアップグレードを計画。
従来はv2.Xを利用していたが、今回のアップグレードを機にv3.0 LTSへ上げてみた。

• [JVN#88385716] HAProxyにおけるHTTPリクエストスマグリングの脆弱性

CVSSスコアは5.3なので高くは無いのだが、普段から利用している事もありアップデートした。
アップデートによってコンフィグ互換性の低下を懸念していたが、
筆者の自鯖HAProxyでは複雑な制御をしていない事もあり、
稼働プロセス数を稼働スレッド数に変更した以外は設定を使いまわせた。

アップグレードした結果はこちら。
ソースコードからビルドをしたのでバージョンも細かく表示されている。
LTSにアップグレードして稼働を確認したかったので、v3.0.6を選定した。

大容量トラフィックを流しているが現時点で正常稼働していて特段問題になる事は無かった。
チューニングも絶賛してる所なので全部を洗い出す事は出来ていないが、
手軽にアップグレードが出来るバージョンなのは非常に嬉しいところ。