by 樽井 秀人
The Apache Software Foundationは7月1日、「Apache HTTP Server 2.4.60」を公開した。以下の8件の脆弱性を修正したセキュリティアップデートとなっている。
- CVE-2024-36387 :WebSocket over HTTP/2接続時のNULLポインタ参照(Low)
- CVE-2024-38472 :Windows用 Apache HTTP Serverにおけるサーバーサイドリクエストフォージェリ(Important)
- CVE-2024-38473 :mod_proxyにおける、出力に対する不適切なエンコード処理(Moderate)
- CVE-2024-38474 :mod_rewriteにおける、出力に対する不適切なエンコードまたはエスケープ処理(Important)
- CVE-2024-38475 :mod_rewriteにおける、出力に対する不適切なエンコードまたはエスケープ処理(Important)
- CVE-2024-38476 :信頼できない制御領域からの値を利用した処理の実行(Important)
- CVE-2024-38477 :mod_proxyにおけるNULLポインタ参照(Important)
- CVE-2024-39573 :mod_rewriteにおけるサーバーサイドリクエストフォージェリ(Moderate)
影響範囲はv2.4.0からv2.4.59まで。サーバープロセスが停止させられたり、機密情報が漏洩したり、URLの不正な置き換えやリダイレクトが行われたりする可能性があるため、最新版への更新を怠らないようにしたい。
「Apache HTTP Server」(Apache HTTPD)は、オープンソースの定番Webサーバー。ライセンスは「Apache License 2.0」で、現在「httpd.apache.org」などから無償でダウンロードできる。
