米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は10月7日(米国時間)、「Apache Releases HTTP Server version 2.4.51 to Address Vulnerabilities Under Exploitation |CISA」において、Apache Software FoundationがオープンソースのWebサーバソフトウェア「Apache HTTP Server 2.4.51」をリリースしたと伝えた。このリリースでは、すでに悪用が確認されているパストラバーサルのゼロデイ脆弱性に対する修正が含まれている。

該当する脆弱性に関する情報は次の脆弱性情報ページにまとめられている。

  • Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50

    Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50

この脆弱性は、ドキュメントルートの外にあるファイルが「require all denied」として保護されていない場合に、不正にアクセスされてしまう可能性があるというもの。さらに、これらのエイリアスパスに対してCGIスクリプトが有効になっている場合は、リモートからコードが実行される危険性もあるという。

Apache Software Foundationでは2021年10月4日にバージョン2.4.50をリリースしている。このリリースにはCVE-2021-41773として追跡されている同じ脆弱性に対する修正が含まれていた。

しかし、バージョン2.4.50の修正内容では対策が不十分だったことが判明し、新たにCVE-2021-42013の追跡番号が付与された上で、追加の修正を行ったバージョン2.4.51がリリースされることになった。脆弱性の深刻度はCVE-2021-41773が「important(重要)」、CVE-2021-42013が「Critical(緊急)」となっている。

Apache Software Foundationによれば、この脆弱性はバージョン2.4.49および2.4.50にのみ含まれており、その他のバージョンは影響を受けないという。