Apache Software Foundationは10月4日(米国時間)、「Apache HTTP Server 2.4.50 Released - The Apache HTTP Server Project」において、オープンソースのWebサーバソフトウェア「Apache HTTP Server 2.4.50」をリリースしこと伝えた。このリリースには2件の脆弱性の修正が含まれており、そのうちの1件はすでに攻撃への悪用が確認されているゼロデイ脆弱性に該当する。
バージョン2.4.50で修正された脆弱性に関する情報は次のページにまとめれらている。
該当する脆弱性は次の2件。
- CVE-2021-41524: null pointer dereference in h2 fuzzing
- CVE-2021-41773: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49
CVE-2021-41524はHTTP/2の処理においてnullポインタの逆参照が発生するというもので、攻撃者によってサービス拒否(DoS)攻撃に悪用される危険性がある。深刻度は「moderate(中程度)」とされている。
CVE-2021-41773はパストラバーサルの脆弱性で、ドキュメントルートの外にあるファイルが「require all denied」として保護されていない場合に、不正にアクセスされてしまう可能性があるという。この脆弱性はすでに悪用されているという報告があるとのことで早急にアップデートすることが推奨される。深刻度は「important(重要)」に分類されている。