パーソナルツール
現在位置: ホーム ニュース Apache HTTP Server 2.2.21 が リリースされました
« 2012 年 2月 »
2月
1234
567891011
12131415161718
19202122232425
26272829
 

Apache HTTP Server 2.2.21 が リリースされました

mod_proxy_ajp で正しくないメソッドの処理に関する脆弱性への対処、および、リクエストの Range ヘッダの処理の脆弱性 (いわゆる Apache Killer) への対策の改良版などが施された Apache HTTPD の 2.2.21 がリリースされました

脆弱性や不具合に対処した Apache HTTP Server 2.2.21 がリリースされました。いわゆる Apache Killer 対策への対処のためにリリースされた 2.2.20 であらたに発生した Range リクエストの処理の問題にも対応しています。
 
Range ヘッダの処理の脆弱性についての解説、対策方法についての文書も新版が公開されています。全体のアップグレードではなく、パッチ単体もこの文書で紹介されていますので、チェックしてください。
 
修正点は以下のとおりです。
  • mod_proxy_ajp で、正しくないメソッドの処理が正しく NOT IMPLEMENTED を応答するよう修正 (CVE-2011-3348)
  • Range ヘッダの処理の脆弱性 (いわゆる Apache Killer) への対策において、あるパターンの Range リクエストに正しい応答を返さなくなっていたことへの修正 (PR 51478)
  • mod_filter: AP_FILTER_PROTO_NO_BYTERANGE で登録された filter において、Accept-Range ヘッダは落とすのではなく、none という値を設定するようにした
  • mod_proxy_ajp: ヘッダが送られていないのに flush リクエストが送られてきた場合には、それを無視するようにした (PR 51608)
  • mod_dav_fs: DBM ドライバーが読み込めない場合に、segfault で落ちてしまう問題の修正 (PR 51751)
  • mod_alias: Redirect ディレクティブで、ターゲットが不完全な場合に出力されるログの servity が WARNING から DEBUG に変更された (PR 44020)
  • mod_rewrite: RewriteEngine ディレクティブによって mod_rewrite エンジンを使わないよう設定していても、内部で使われる int: RewriteMap の妥当性をチェックするようにした (PR 50994)
  • core: MaxRanges ディレクティブを追加。default, unlimited, none を引数として取り、いくつの Ranges リクエストを受け付けるかを指定。none の場合には、Accept-Ranges: none と設定するようにした
  • mod_proxy_ajp: END_RESPONSE パケットの reuse フラグを処理するようにした
 
ドキュメントアクション