Apache、「mod_proxy」モジュールの脆弱性を修正

Apache Software Foundation (ASF) は、『Apache HTTP Server』の複数バージョンに見つかった重大な脆弱性について、対応した更新版を用意している模様だ。

問題の脆弱性は、Apache HTTP Server のバージョン 1.3.26、1.3.27、1.3.28、1.3.29 および 1.3.31 を、プロキシサーバーとして機能するように構成した場合、バッファオーバフローが発生するおそれがあるというもので、6月10日に最初の報告が出ていた。Apache HTTP Server 1.3 系列の他のバージョンおよび Apache HTTP Server 2.0 系列には、同脆弱性は存在しない。

Apache Week のセキュリティ情報によると、プロキシモジュール「mod_proxy」を用いてリモートサーバーに接続した際、コンテンツ長として不当な値 (マイナス値) が渡ってきた場合にバッファオーバフローが起こるという。

Apache Week は、同脆弱性の危険度について「致命的というほどではない」としているが、任意のコードを実行を許すおそれがあるとも警告している。

Apache Week は、「Apache Web サーバーを運用しているなら、うっかり公開プロキシサーバーとして動作していないか確認するため、設定ファイルを調べるよう勧める。プロキシサーバーとして機能する必要がなければ、設定ファイルの中で『ProxyRequests On』と記述していないか確認することだ」と述べている。

Apache Week は、大半のプラットフォームは任意コード実行にまで至らないとの見方を示しているが、OS に付随する標準ライブラリ関数「memcpy」の内部実装の関係から、比較的旧版の OpenBSD/FreeBSD は任意コード実行の危険性が大きく、より新しい BSD 系 UNIX 環境もまた、任意コード実行に至る可能性があるという。

問題の脆弱性を修正するパッチはできており、Apache Week によれば、バージョン 1.3.32 開発ツリーで対応しているという。Gentoo Linux、OpenBSD、Debian、Red Hat をはじめとする Linux/UNIX ベンダー各社は全て、同脆弱性に対応するアップデートをすでに公開済みだ。