The Apache Software Foundationは10月4日、Webサーバー「Apache HTTP Server」(Apache HTTPD)v2.4.50を公開した。ゼロデイ脆弱性を修正したセキュリティアップデートとなっている。
問題となっている脆弱性(CVE-2021-41773)は、ドキュメントルートの外にあるファイルが「require all denied」で明示的に保護されていない場合にアクセスされてしまう可能性があるというもの。いわゆるパストラバーサル(Path traversal)の欠陥で、原因は「Apache HTTPD 2.4.49」(9月16日リリース)で実施されたパス正規化処理の変更にあるという。このバージョンでしか攻撃は成立しないため影響は限定的だが、すでに悪用の報告もあり、すでに「Apache HTTPD 2.4.49」を利用している場合は一刻も早い対処が必要だ。
NASに建ててる自宅鯖のapacheのバージョン調べたかったけど、方法がよくわからんかった。まぁ、このバージョン限定とのことだったので大丈夫だろうとは思ってる(多分、そんなに新しいバージョンではないはず)。
