The Apache Software FoundationおよびApache HTTP Server Projectは14日(米国時間)、Apache HTTP Serverの最新版となるApache HTTP Server 2.2.9を公開した。バグ修正とセキュリティ修正を主眼においたリリースで、CVE-2008-2364とCVE-2007-6420で説明されている2つの潜在的なセキュリティ脆弱性が修正されている。

CVE-2008-2364はmod_proxy_httpにおけるDoS攻撃の脆弱性に関するもの。mod_proxy_httpにおけるa_proxy_http_process_response関数で一時的なレスポンスに対する制限を設けていなかったため、リモートHTTPサーバに対してDoS攻撃(特にメモリの大量消費)を引き起こす潜在的な問題があった。

CVE-2007-6420はmod_proxy_balancerにおけるクロスサイトリクエストフォージェリの脆弱性に関するもの。mod_proxy_balancerにおけるバランサ管理に脆弱性があり、不正なベクタを通じて攻撃者が不正に高い権限を取得できてしまう可能性があった。この2つの脆弱性が修正されている。

セキュリティ対策が実施されていることから、これよりも前のバージョンを使っているユーザにはApache HTTP Server 2.2.9へのアップグレードが推奨されている。また現存するバージョン系列の中でも、今回発表されたApache HTTP Server 2.2.9が採用を推奨できるバージョンということだ。これからWebサーバの構築を検討している場合にはApache HTTP Server 2.2.9の採用を検討するといいだろう。

レガシーリリースとしてApache HTTP Server 1.3.41および2.0.63も用意されているが、同プロジェクトではすべてのユーザに対して2.2系への移行を強く推奨している。1.3.41および2.0.63は1月19日(米国)に公開されたバージョンのままだ。