NEWS(11/09/15 14:50)

範囲リクエストの処理に関する脆弱性への対応を改善した「Apache」v2.2.21が公開

“mod_proxy_ajp”モジュールに存在した脆弱性も修正

 The Apache Software Foundationは13日、Webサーバーソフト「Apache HTTP Server」(以下、「Apache」)の最新版v2.2.21を公開した。Windows 2000以降などに対応するフリーソフトで、本ソフトの公式サイトからダウンロードできる。

 v2.2.21では、前バージョンのv2.2.20で施された範囲リクエスト(“Range”ヘッダー)の処理に関わる脆弱性(CVE-2011-3192)への対策が改良。特定の範囲リクエストに対して正しい応答を返さない問題が修正されたほか、範囲リクエストで指定できる区間の数を制限する設定“MaxRanges”ディレクティブが追加された。そのほか、“mod_proxy_ajp”モジュールに存在した別の脆弱性も修正された。

 なお、v2.2.20のリリース時には未提供だったv2.0系統向けのパッチも公開されている。v2.0系統の最新版となるv2.0.65は、今月中にリリースされる予定。また、その後の調査で“CVE-2011-3192”はv1.3系統に影響しないことが判明している。詳しくは公式のセキュリティアドバイザリを参照してほしい。

【著作権者】
The Apache Software Foundation
【対応OS】
Windows 2000以降など
【ソフト種別】
フリーソフト
【バージョン】
2.2.21(11/09/13)

(柳 英俊)