セキュリティ修正を加えたApache 2.0.50がリリース

Apache Software Foundationは、2つのセキュリティ修正を施したオープンソースのWebサーバ「Apache 2.0.50」をリリースした。

[ITmedia]

　Apache Software Foundation／Apache HTTP Server Projectは7月1日、オープンソースのWebサーバ、Apache 2.0系列の最新バージョンとなる「Apache 2.0.50」をリリースした。

　今回のリリースは、セキュリティフィックスが中心だ。1つは、"ap_get_mime_headers_core()"ファンクションに脆弱性があり、細工を施したヘッダーを送り込むことによってメモリが消費され、ApacheサーバがDoS（サービス妨害）状態に追い込まれるというものだ。1.3系列にはこの問題は存在しない。

　もう1つは、mod_sslに存在した脆弱性で、クライアント証明書の処理に起因する。細工を施したクライアント証明書を送りつけることでスタックバッファオーバーフローが生じ、DoS状態になったり、悪くするとシステムを乗っ取られる恐れがあるのだが、攻撃が成功するにはFakeBasicAuth"オプションを有効にしておくなどいくつかの条件が必要だ。これについては、問題を修正したmod_sslが公開されているため、こちらのアップデートでも対処できる。

　いずれの問題にしても、先日1.3系列のmod_proxyで報告された脆弱性ほどは深刻ではないが、早期のアップデートが望ましいだろう。