Apache統合スレ 12 (HTTPServer以外も含む) (703レス)
上下前次1-新
670: 2021/10/06(水)12:51 ID:T97Z3Mvk(2/2) AAS
The Apache Software Foundationは10月4日、Webサーバー「Apache HTTP Server」(Apache HTTPD)v2.4.50を公開した。ゼロデイ脆弱性を修正したセキュリティアップデートとなっている。
問題となっている脆弱性(CVE-2021-41773)は、ドキュメントルートの外にあるファイルが「require all denied」で明示的に保護されていない場合にアクセスされてしまう可能性があるというもの。いわゆるパストラバーサル(Path traversal)の欠陥で、原因は「Apache HTTPD 2.4.49」(9月16日リリース)で実施されたパス正規化処理の変更にあるという。このバージョンでしか攻撃は成立しないため影響は限定的だが、すでに悪用の報告もあり、すでに「Apache HTTPD 2.4.49」を利用している場合は一刻も早い対処が必要だ。
また、本バージョンでは細工が施されたクエストでサービス拒否(DoS)を引き起こせるHTTP/2の脆弱性にも対策が施されているとのこと。この問題はファジングにより判明したもので、悪用は確認されていない。
上下前次1-新書関写板覧索設栞歴
あと 33 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.005s