エンタープライズ:ニュース | 2003/07/09 18:36:00 更新 |
Apacheが2.0.47へアップデート、複数のセキュリティ問題を修正
7月9日、オープンソースのWebサーバ「Apache」の最新バージョンとなる2.0.47が公開された。Apache Software Foundationの配布用サイトや一部のミラーサイトにソースコードが登場している。
7月9日、オープンソースのWebサーバ「Apache」の最新バージョンとなる2.0.47が公開された。9日18時時点では、Apache Software FoundationのWebサイトにアナウンスこそ掲載されていないものの、同ファウンデーションの配布用サイト、および一部のミラーサイトにはソースコードが用意されている。
リリースノートによると、今回の新バージョンでは、強い暗号の代わりに弱い暗号が用いられてしまうバグ(CAN-2003-0192)やprefork MPMが一時的なDoS(サービス妨害)状態を引き起こすバグ(CAN-2003-0253)、さらに、FTPプロキシサーバがIPv6ソケットを作り出せないにもかかわらずターゲットホストがIPv6である場合、DoSが引き起こされる問題(CAN-2003-0254)など、複数のセキュリティ問題が修正されたほか、いくつか動作の修正も加えられている。これまでのバージョン同様、早期にバージョンアップしておくほうが望ましい。
またこれと合わせて、ラックのSNS(セキュアネットサービス)は、Apache 2.0.47未満のバージョンに、ローカルの攻撃者がシステムをDoS状態に陥らせることができる問題があるとし、アドバイザリを公開した。無限ループを引き起こすtype-mapファイルを悪用することで、システムをDoS状態に追い込むことができるという問題だが、Apache 2.0.47へアップグレードすれば解消できるという。
関連記事オープンソース Update:Apache 2.x
セキュリティアラートへ
関連リンク
Apache Software Foundation
SNS Advisory No.66:Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File
[ITmedia]