The Apache HTTP Server Project |
5月11日(米国時間)、Apache HTTP Serverの最新版となる「Apache HTTP Server 2.2.18」が公開された。Apache HTTP Server 2.2.18はバグ修正とセキュリティ修正が実施されたバージョン。危険度はそれほど高くないが、状況によってはDoS攻撃が実施される可能性がある。すべてのユーザに2.2.18へのアップグレードが推奨されている。
対応されたのは、Apache HTTP Serverで利用しているApache Portable Runtime (APR)に問題があり、結果としてDoS攻撃が引き起こされるという事象。APRのapr_fnmatch()が文字列マッチングを再帰的に繰り返して実施するケースがあり、結果としてプロセッサ負荷が高くなったり、メモリが本来の使用以上に消費されたりする可能性がある。
この問題はmod_autoindexを有効にしている場合に発生する可能性がある。Apache 2.2.18/APR 1.4.4へアップグレードするか、またはIndexOptionsディレクティブにIgnoreClientを指定することで問題を回避することができる。
