「Apache Killer」脆弱性への対応を補強した「Apache HTTP Server 2.2.21」

 Apache Software Foundation(ASF)とApache HTTP Server Projectは9月14日、オープンソースのWebサーバー最新版「Apache HTTP Server 2.2.21」をリリースした。8月末にリリースしたバージョン2.2.20を補完するもので、ユーザーにアップデートを推奨している。

 開発チームは8月30日、「Apache Killer」と呼ばれるDoS攻撃の脆弱性に対応するバージョン2.2.20をリリースしている。Apache KillerはRangeヘッダ処理の脆弱性を悪用する攻撃コードで、ASFは8月24日にこれに対して警告していた。この脆弱性が影響するのは、バージョン2.0、2.2(当初は1.3系も該当するとしていたが、その後対象外となった)で、攻撃者はこれを利用して大量のメモリとCPUを消費させることができる。

 最新版は2.2.20を補完するものとなり、Rangeヘッダ処理の脆弱性対策で見つかったプロトコル互換の問題を修正し、MaxRangeディレクティブも追加した。2.2.20では、一部のRangeリクエストヘッダを処理できない問題が生じていた。

 このほか、Apache JServプロトコルをサポートするmod_proxy_ajpで、mod_proxy_balancerとを組み合わせ時に生じる脆弱性も修正している。

Apache Software Foundation(ASF)
http://www.apache.org/