Apache Software Foundationは12月20日(現地時間)、Webサーバソフトウェア「Apache HTTP Server」の最新版となるバージョン2.4.52をリリースした。このアップデートには機能改善や機能拡張のほかに、2件の脆弱性の修正が含まれている。これらの脆弱性を悪用されると、リモートの攻撃者によってアプリケーションがクラッシュさせられるなどの被害を受ける可能性がある。

  • Apache HTTP Server 2.4.52 Released

    Apache HTTP Server 2.4.52 Released

Apache HTTP Server 2.4.52で修正された脆弱性は次の2件。

  • CVE-2021-44224: フォワードプロキシが有効か環境において、悪意を持って細工されたURIによってSSRF(サーバサイドリクエストフォージェリ)が可能となり、結果としてNULLポインター逆参照によるクラッシュが引き起こされる可能性がある
  • CVE-2021-44790: マルチパートコンテキストをmod_luaで処理する際にバッファーオーバーフローが発生する可能性がある

CVE-2021-44224は2.4.7から2.4.51のバージョンが、CVE-2021-44790は2.4.51以前のバージョンが影響を受けるとのこと。脆弱性の影響度は、CVE-2021-44224が"中程度(moderate)"、CVE-2021-44790が高(high)に指定されている。

詳細は、公式サイトの次のページで確認することができる。

Apache Software Foundationでは、CVE-2021-44790について、2.4.52のリリース時点では悪用は確認されていないが、悪用することは可能だと説明している。