このドキュメントは 2021 年 10 月 7 日にリリースされた Apache httpd 2.4.51 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* Apache HTTP Server 2.4.50 での CVE-2021-41773 に対する修正は不十分であることが判明しました。攻撃者は、パストラバーサル攻撃を使って、URL を、Alias などのディレクティブで設定されたディレクトリの外側のファイルにマップすることが可能でした。これらのディレクトリの外側のファイルが、通常のデフォルト設定 “require all denied” で保護されていない場合、これらのリクエストが成功します。CGI スクリプトがこれらのエイリアスされたパスに対して有効化されている場合は、リモートでのコード実行が可能になっていました。この問題は、Apache 2.4.49 と Apache 2.4.50 にだけ影響し、それより前のバージョンには影響しません。(CVE-2021-42013)
不具合修正
* core: より良いデコーディングの制御のために ap_unescape_url_ex() が追加されました。また、使われていなかった AP_NORMALIZE_DROP_PARAMETERS フラグが非推奨となりました。
詳細は以下をご覧ください。