「Apache HTTP Server」のゼロデイ脆弱性対策は不十分 ～「Apache 2.4.51」で追加修正

The Apache Software Foundationのリリースページ

　The Apache Software Foundationは10月7日、「Apache HTTP Server 2.4.51」を公開した。前バージョン「Apache 2.4.50」でパストラバーサルのゼロデイ脆弱性が修正されたが、それが不十分であったとして追加の対策が施されている。

　「Apache 2.4.49」では、ドキュメントルートの外にあるファイルへアクセスされてしまう、いわゆるパストラバーサルの欠陥（CVE-2021-41773）が報告されている。これは通常のデフォルト設定である「require all denied」で保護されていないファイル（CGIなども含む）が比較的容易に漏洩してしまう危険なものだ。すでに悪用も確認されていたため、開発チームはすぐさま修正版の「Apache 2.4.50」をリリースし、アップデートを呼び掛けていた。

　しかし、「Apache 2.4.50」には「Alias」のようなディレクティブで設定されたディレクトリの外にあるファイルにURLをマッピングできてしまう問題が残されており、対策が十分ではなかったという（CVE-2021-42013）。

　「Apache 2.4.51」でこの問題は解決されており、「Apache 2.4.49」「Apache 2.4.50」を利用している場合はアップデートが推奨されている。ちなみに、「Apache 2.4.49」「Apache 2.4.50」以外のバージョンには影響しない。

　「Apache HTTP Server」（Apache HTTPD）は、オープンソースの定番Webサーバー。ライセンスは「Apache License 2.0」で、現在「httpd.apache.org」などから無償でダウンロードできる。