Webサーバー「Apache」にゼロデイ脆弱性 ～ドキュメントルート外にあるファイルにアクセスされる

The Apache Software Foundationのリリースページ

　The Apache Software Foundationは10月4日、Webサーバー「Apache HTTP Server」（Apache HTTPD）v2.4.50を公開した。ゼロデイ脆弱性を修正したセキュリティアップデートとなっている。

　問題となっている脆弱性（CVE-2021-41773）は、ドキュメントルートの外にあるファイルが「require all denied」で明示的に保護されていない場合にアクセスされてしまう可能性があるというもの。いわゆるパストラバーサル（Path traversal）の欠陥で、原因は「Apache HTTPD 2.4.49」（9月16日リリース）で実施されたパス正規化処理の変更にあるという。このバージョンでしか攻撃は成立しないため影響は限定的だが、すでに悪用の報告もあり、すでに「Apache HTTPD 2.4.49」を利用している場合は一刻も早い対処が必要だ。

　また、本バージョンでは細工が施されたリクエストでサービス拒否（DoS）を引き起こせるHTTP/2の脆弱性にも対策が施されているとのこと。この問題はファジングにより判明したもので、悪用は確認されていない。