1. /
  2. /
  3. Apache httpd 2.4.53 のリリースノート

Apache httpd 2.4.53 のリリースノート

このドキュメントは 2022 年 3 月 14 日にリリースされた Apache httpd 2.4.53 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

* mod_sed: Apache HTTP Server の mod_sed に範囲外書き込みの脆弱性があり、攻撃者が用意したデータでヒープメモリを上書きすることができていました。この問題は、Apache HTTP Server 2.4 のバージョン 2.4.52 およびそれ以前のバージョンに影響します。(CVE-2022-23943)

* core: LimitXMLRequestBody が 32 ビットシステム上で 350MB (デフォルトは 1MB) より大きいリクエスト本体を許すように設定されていると、後で範囲外書き込みを引き起こす可能性がありました。この問題は、バージョン 2.4.52 およびそれ以前のバージョンに影響します。(CVE-2022-22721)

* Apache HTTP Server 2.4.52 およびそれ以前のバージョンでは、リクエストボディを廃棄する際にエラーが発生すると、インバウンド接続のクローズに失敗することがあり、これにより HTTP リクエストスマグリングの脆弱性が発生する可能性があります。(CVE-2022-22720)

* mod_lua: 注意深く組み立てられたリクエスト本体によりメモリのランダムな領域を読むことができ、これによりプロセスがクラッシュする可能性がありました。この問題は、のバージョン 2.4.52 およびそれ以前のバージョンに影響します。(CVE-2022-22719)

不具合修正

* core: LimitXMLRequestBody がシステムメモリに収まることの確認およびチェックが行われるようになりました。

* core: リクエスト本体を捨て去るのに失敗した場合の接続クローズロジックが簡素化されました。

* mod_http2: HTTP/2 にアップグレードされた、 HTTP/1.1 リクエストで指定されたポート番号が保存されるようになりました。PR65881 の修正です。

* dbm: DBM ドライバのロード処理が DBM ファイルのオープン処理とは切り離されました。DBM ドライバをロードしようとして失敗した場合、(“default” ではない)どのドライバがエラーを引き起こしたのか、およびそのエラーは何かを明確にログ出力するようになりました。

* mod_proxy: リクエスト (WebSocket、CONNECT リクエスト)をトンネリングする際、フロントエンドとバックエンドのタイムアウトの最小値ではなくて最大値が使われるようになりました。(PR 65886)

* mod_md: チャレンジタイプ ‘http-01’ がドメインに対して設定されていない場合は、”/.well-known/acme-challenge/” リソースに対するリクエストに干渉しないようになりました。<https://github.com/icing/mod_md/issues/279> に対する修正です。

* mod_dav: プロパティの収集が、リソース数に比例して大量のメモリ消費を引き起こしていたリグレッションが修正されました。

* mod_md: (設定されていれば) md-status ハンドラで明らかになる、MDomain の JSON 中の状況説明が証明書の更新が必要な場合に時々正しいメッセージを保持していませんでした。この問題が修正されました。

* mpm_event: 再起動したとき、または、MaxConnectionsPerChild に達した時、あるいはその両方が起きた場合に高負荷時にリスナーがデッドロックに陥る可能性があった問題が修正されました。(PR 65769)

機能追加・改良

* mod_proxy: ワーカ名をさらに長くすることができるようになりました。(PR 53218)

* ap_regex: 効率的な TLS 実装が利用可能な場合は、Thread Local Storage (TLS) を使って ap_regexec() バッファがリサイクルされるようになりました。

* core, mod_info: コンパイルされロード済みの PCRE バージョンがバージョン番号表示に追加されました。

* 正規表現の評価で使用されている PCRE (8.x) が EOL を迎えたので代わりに PCRE2 (10.x) がサポートされるようになりました。これは、pcre2-config の位置決めに依存します。

* 式 API に ldap 関数が追加され、LDAP フィルター、および式に基づく識別名が LDAP のインジェクションに対してガードするための正しいエスケープが可能になりました。

詳細は以下をご覧ください。

https://downloads.apache.org/httpd/CHANGES_2.4

関連記事:

  1. Apache httpd 2.4.54 のリリースノート
  2. Apache httpd 2.4.57 のリリースノート
  3. Apache httpd 2.4.55 のリリースノート
  4. Apache httpd 2.4.58 のリリースノート