Apache 1.3 と 2.0 系に新版、セキュリティ問題を修正

Apache Software Foundation と Apache HTTP Server Project は29日、オープンソース Web サーバーの『Apache 1.3』ならびに『同 2.0』系列の新版、『Apache HTTP Server 1.3.29』と『Apache HTTP Server 2.0.48』を公開した。いずれもバグとセキュリティ関連の修正版で、Web クライアントを入力した URL とは異なるページに誘導する機能を実装した2つのモジュールを改良している。

「mod_rewrite」と「mod_alias」という2つのモジュールは、各種の条件を設定して、リクエストのあった URL を、サーバーサイドで任意の URL へリダイレクトする機能を実現するもの。しかしかなり複雑な設定をするとバッファオーバーフローを起こし、クラッシュや、サーバーのセキュリティ脅威となり得る。同脆弱性については、『Common Vulnerabilities and Exposures』(CVE) データベースで指摘されているが、現在までのところそれ以上の情報は出ていない。見つかった脆弱性の悪用法が広まる前に、ソフトウェア開発者にプログラムを修正する猶予を与えるための一般的な措置だ。

『Apache HTTP Server 2.0.48』は別の脆弱性にも対応している。「mod_cgid」に見つかったもので、CGI 出力をある特定の状況下で間違ったクライアントに渡してしまう。先の脆弱性と同様、この脆弱性も CVE データベースに記載済みだが、詳細情報はまだ公開していない。

セキュリティ面での修正に加え、Apache 2.0.48 では多くのバグも修正しているが、新機能は加わっていない。