Apacheのmod_sslに脆弱性、リモートから任意のコード実行も

ApacheでSSL／TLS通信を行うためのモジュール、mod_sslに、任意のコードの実行も可能なセキュリティホールが報告されている。

[ITmedia]

　オープンソースのWebサーバソフトウェア「Apache」でSSL／TLS通信を行うためのモジュールであるmod_sslに、危険性の高いセキュリティホールが報告されている。

　US-CERTやSecuniaの情報によると、問題が存在するのはmod_sslのバージョン2.8.18以前。ssl_log()ファンクションに脆弱性が存在しており、HTTPSリクエストで細工を施したホスト名をApache＋mod_sslに与え、処理させようとするとバッファオーバーフローが生じる。攻撃者に悪用されれば、リモートから任意のコードを実行させられる可能性もあるという。

　問題を解消するには、開発元が公開した最新バージョンである2.8.19（Apache 1.3.31用）にアップグレードする。今のところ、それ以外の回避策は公表されていない。