ITmedia エンタープライズ: オープンソース Update

Apache 2.x

2.0.47

　2003年7月7日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.47.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.47.tar.gz
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.47.tar.gz

・「SSLCipherSuite」ディレクティブなどで指定した暗号方式の優先順序が指定どおりに適用されず、指定より弱小な暗号解析で接続されてしまう問題（CAN-2003-0192）が修正された。
・Prefork MPM（マルチプロセッシングモジュール）のバグにより、TCPセッション確立時に一部的なサービス妨害が成立する問題（CAN-2003-0253）が修正された。
・（FTP Proxyサーバとして）IPv6ネットワーク上にあるFTPサーバへのリクエストを受けた場合、サービス妨害が成立する脆弱性（CAN-2003-0254）が修正された。
・サーバプロセスが「無限ループ」に突入した場合、クラッシュせずに指定回数でループを抜けるよう変更された。ループ脱出までの回数は「LimitInternalRecursion」ディレクティブで指定できる。
SNS Advisory No.66: Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File

・マルチスレッド利用時、MPM（マルチプロセッシングモジュール）のバグにより、ソケットが二重にクローズされる問題が修正された。
・mod_negotiationモジュールに新しい環境変数「prefer-language」が追加された。
・mod_expireモジュールの「ExpiresByType」が仕様通りに動作しないバグが修正された。

2.0.46

　2003年5月28日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.46.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.46.tar.gz
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.46.tar.gz

　以下に挙げる2つの脆弱性が修正されたセキュリティ対策リリース。

・モジュール「mod_dav」の問題点により、リモートから故意にApacheの子プロセスをクラッシュさせる可能性を持つ脆弱性（CAN-2003-0245）を修正。
・BASIC認証の認証処理部分に問題点に対し、DoSが発生する可能性に対する脆弱性（CAN-2003-0189）対策。

2.0.45

　2003年4月1日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.45.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.45.tar.gz
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.45.tar.gz

・ cgid（CGIデーモン）がsegmentation faultを発生させるバグが修正された。
・特定のデータをリモートから送りつけることでメモリを浪費させサーバを停止させられる可能性がある脆弱性（CAN-2003-0132）が修正された。
・ファイルディスクプリタが漏洩する脆弱性が修正された。
・リクエストヘッダの解析処理が高速化された。
・モジュールmod_rewriteの書き換えで永久ループに入らないよう変更された。書き換え回数は、RewriteOptionsディレクティブで設定が可能。
・そのほか、細かなバグの修正や、安全性向上のための改良が施されている。

2.0.44

　2003年1月21日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.44.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.44.tar.gz

http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.44.tar.gz

　2.0.43以後に発見された、次に挙げる脆弱性などが修正された。
・ Windows9x/Me上でDoS攻撃を受ける可能性がある脆弱性を修正。
・ Windows9x/Me上で不正なPOSTリクエストを用いて任意のコードを実行できる脆弱性を修正。
・ Windows上で不正なURLをリクエストすることで不正にファイルにアクセスぎる脆弱性を修正。

2.0.43

　2002年10月4日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.43.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.43.tar.gz
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.43.tar.gz

　DAVとCGIの両方が有効とされているディレクトリ下にPOSTリクエストが行われた際、CGIのソースが露出する問題が修正された。

2.0.42

　2002年9月25日リリース

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/httpd-2.0.42.tar.gz
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/httpd-2.0.42.tar.gz
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/httpd-2.0.42.tar.gz

　「mod_dav」モジュールが改良された。

Apache 2.0

Apache 2.0は、LinuxをはじめとするUNIX系OSで利用可能なHTTPサーバのオープンソース実装。Yahoo!などの商用サイトを始め、PC UNIXで運用される小規模なWebサイトまで、世界中で幅広く利用されている。

バージョン2.0では、ベースとなったApache 1.3と比べマルチスレッドによるパフォーマンスの向上のほか、マルチプロトコル対応、IPv6対応、フィルタリングがサポートされるなど、さまざまな機能拡張が行われている。

公式サイト

The Apache HTTP Server Project
http://httpd.apache.org/
The Apache Software Foundation
http://www.apache.org/

主なダウンロードサイト

ftp://ftp.infoscience.co.jp/pub/net/apache/
- dist/httpd/
http://ring.asahi-net.or.jp/archives/net/apache/
- dist/httpd/
http://www.meisei-u.ac.jp/mirror/apache/
- dist/httpd/