The Apache HTTP Server Project is an effort to develop and maintain an open-source HTTP server for modern operating systems including UNIX and Windows NT. |
Apache HTTP Serverプロジェクトは8月21日(米国時間)、Apache HTTP Serverの最新版となる「Apache HTTP Server 2.4.3」を公開した。Apache HTTP Server 2.4.3は、2つの脆弱性に対処するとともにバグ修正やセキュリティ修正が実施されたバージョン。プロジェクトでは旧バージョンを利用しているすべてのユーザに対してアップグレードを推奨している。
Apache HTTP Server 2.4.3で修正された脆弱性は、CVE-2012-3502とCVE-2012-2687の2つ。
前者はmod_proxy_ajp及びmod_proxy_httpにあった問題で、バックエンド接続が閉じている状態でレスポンスミックスアップが原因で情報漏えいの問題を引き起こす可能性があるという。後者はmod_negotiationを使用しており、かつ信頼できないユーザがMultiViewsオプションを有効にしている場所でファイルをアップロードした場合、XSS(Cross Site Scripting)の可能性があるとしている。
Apache HTTP Server 2.4.3では上記のセキュリティ問題の他にも様々なバグやセキュリティ修正を行なっている。すべての変更点はChangelogが参考になる。