ニュース

「Apache HTTP Server」に2件の脆弱性 ~v2.4.52へのアップデートを

最大深刻度は「High」

The Apache Software Foundationのリリースページ

 The Apache Software Foundationは12月20日、「Apache HTTP Server 2.4.52」を公開した。機能の改善と不具合の修正、セキュリティ問題への対処などを含むメンテナンスアップデートとなっている。

 今回のアップデートで修正された脆弱性は、以下の2件(括弧内は脆弱性の深刻度評価)。

  • CVE-2021-44224:フォワードプロキシーが有効な環境で細工を施したURIを用いたSSRF(Server Side Request Forgery)が成立しうる問題。v2.4.7からv2.4.51のバージョンに影響(Moderate)
  • CVE-2021-44790:マルチパートコンテキストを「mod_lua」で処理するとバッファーオーバーフローが発生する。v2.4.51までのバージョンに影響するが、悪用の報告はない(High)

 「Apache HTTP Server」(Apache HTTPD)は、オープンソースの定番Webサーバー。ライセンスは「Apache License 2.0」で、現在「httpd.apache.org」などから無償でダウンロードできる。