ニュース

「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正

「Apache 2.4.56」への更新を

The Apache Software Foundationのリリースページ

 The Apache Software Foundationは3月7日、「Apache HTTP Server 2.4.56」を公開した。以下の2件の脆弱性を修正したセキュリティアップデートとなっている。

  • CVE-2023-25690:mod_rewriteとmod_proxyにおけるHTTPリクエスト分割の問題
  • CVE-2023-27522:mod_proxy_uwsgiにおけるHTTPレスポンス分割の問題

 プロキシサーバーのアクセス制御をバイパスされたり、キャッシュポイズニングを引き起こされたりする可能性があるほか、クライアントに転送されるレスポンスが切り捨てられたり、分割されたりする恐れがある。

 影響範囲は「Apache HTTP Server 2.4.55」およびそれ以前のバージョン。できるだけ早めに最新版へ更新しておきたいところだ。

 「Apache HTTP Server」(Apache HTTPD)は、オープンソースの定番Webサーバー。ライセンスは「Apache License 2.0」で、現在「httpd.apache.org」などから無償でダウンロードできる。