ニュース
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正
「Apache 2.4.56」への更新を
2023年3月9日 12:43
The Apache Software Foundationは3月7日、「Apache HTTP Server 2.4.56」を公開した。以下の2件の脆弱性を修正したセキュリティアップデートとなっている。
- CVE-2023-25690:mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
- CVE-2023-27522:mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題
プロキシサーバーのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする可能性があるほか、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする恐れがある。
影響範囲は「Apache HTTP Server 2.4.55」およびそれ以前のバージョン。できるだけ早めに最新版へ更新しておきたいところだ。
「Apache HTTP Server」(Apache HTTPD)は、オープンソースの定番Webサーバー。ライセンスは「Apache License 2.0」で、現在「httpd.apache.org」などから無償でダウンロードできる。