新着情報
Apache 2.2.13 がリリースされました
(2009/8/8)
Apache HTTP Server の 2.2.13 がリリースされました。セキュリティ上の問題などが修正されています。
- Apache HTTP Server に同梱の APR や APR-util で DoS を引き起こしたり任意のコードを実行させてしまう可能性がある問題 (CVE-2009-2412)を修正しました。
Apache 2.2.12 がリリースされました
(2009/7/30)
Apache HTTP Server の 2.2.12 がリリースされました。セキュリティ上の問題が修正されています。
- mod_deflate 等でサーバに大きなファイルを圧縮させると クライアントが接続を切断した後でもその処理を続けてしまうため、サーバのCPU時間を食い潰させるができてしまう、という問題 (CVE-2009-1891)を修正しました。
- SSI を許可するが、
#execを無効化するAllowOverrideディレクティブのOptions=IncludesNOEXECが正しく処理されていなかったため、.htaccess を変更できるサーバ上のローカルユーザが、サーバプロセスの権限でコードを実行させることができてしまう問題 (CVE-2009-1195) を修正しました。AllowOverrideで制限されている場合に、.htaccessでIncludesオプションが有効にならなくなります。 - mod_proxy をリバースプロキシとして使っている場合に、攻撃者が細工したリクエストを送ることで proxy 処理に無制限にCPU時間を浪費させてしまうことのできる問題 (CVE-2009-1890) を修正しました。
- mod_proxy_ajp が以前に受けたリクエストへの応答を漏洩してしまうことがある問題 (CVE-2009-1191) を修正しました。
- Apache HTTP Server に同梱されている APR-util ライブラリが更新されました。三つのセキュリティ上の問題 (CVE-2009-0023) (CVE-2009-1955) (CVE-2009-1956) が修正されています。設定によっては影響を受けるものです。また、サードパーティのモジュールにも影響があるかもしれません。
Apache 2.2.11 がリリースされました
(2008/12/14)
Apache HTTP Server の 2.2.11 がリリースされました。主にバグフィックスが行なわれています。
Apache 2.0.63 がリリースされました
(2008/1/19)
セキュリティ上の問題を修正した Apache HTTP Server の 2.0.63 がリリースされました。
- mod_statusでXSS攻撃を防ぐためにrefreshパラメタが必ず数値であることをチェックします(CVE-2007-6388)
- mod_imagemapでクロスサイトスクリプティングを引き起こす可能性のある欠陥を修正しました(CVE-2007-5000)
Apache HTTP Server 1.3.41 がリリースされました
(2008/1/19)
セキュリティ上の問題を修正した Apache HTTP Server の 1.3.41 がリリースされました。
- mod_statusでXSS攻撃を防ぐためにrefreshパラメタが必ず数値であることをチェックします(CVE-2007-6388)
- mod_imagemapでクロスサイトスクリプティングを引き起こす可能性のある欠陥を修正しました(CVE-2007-5000)
- mod_proxyで日付関連のヘッダを読む際にバッファの終端を越えて読んでしまう欠陥を修正しました(CVE-2007-3847)
- 1.3.39で修正されたCVE-2007-3304に関して、より効率的な実装を行ないました
