このドキュメントは 2023 年 3 月 7 日にリリースされた Apache httpd 2.4.56 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* mod_proxy_uwsgi: Apache HTTP Server に mod_proxy_uwsgi による HTTP レスポンススマグリングの脆弱性がありました。この問題は Apache HTTP Server の 2.4.30 から 2.4.55 に影響します。元のレスポンスヘッダに特殊文字があると、クライアントに転送されるレスポンスを切り詰めたり、分割することができます。この問題が修正されました。(CVE-2023-27522)
* mod_rewrite. mod_proxy: Apache HTTP Server バージョン 2.4.0 から 2.4.55 を使用している場合、mod_proxy の設定によっては HTTP リクエストスマグリング攻撃が可能になっていました。設定は RewriteRule または ProxyPassMatch のいくつかの形式に沿って mod_proxy が有効化されている場合に影響を受けます。RewriteRule または ProxyPassMatch の形式で明示的でないパターンがユーザ指定のリクエストターゲット (URL) の一部にマッチし、かつ、変数置換によりプロキシされたリクエストターゲットに再挿入された場合に発生します。例えば、以下のような場合です。
RewriteEngine on
RewriteRule “^/here/(.*)” ”
http://example.com:8080/elsewhere?$1″
http://example.com:8080/elsewhere ; [P]
ProxyPassReverse /here/ http://example.com:8080/
http://example.com:8080/
リクエスト分割/スマグリングにより、プロキシサーバのアクセス制御を迂回して、意図しない URL を既存のオリジンサーバにプロキシすることにない、キャッシュを汚染します。(CVE-2023-25690)
不具合修正
* rotatelogs: -T フラグが追加されました。これは、最初のログファイルを切り詰めることなく、後続のローテートされたログファイルを切り詰めることを可能にします。
* mod_ldap: LDAPConnectionPoolTTL は負の値を受け付けて、任意の年齢の接続を再使用することを許すように受け付けるべきでした。これまで、負の値は設定ファイルのパーシングの際にエラーとして処理されていました。この問題が修正されました。(PR 66421)
* mod_proxy_ajp: AJP バックエンドが不正な数のヘッダを送信した場合にエラーが報告されるようになりました。
* mod_md:
– libressl v3.5.0 以降を使ってビルドした場合、ED25519 サポートと証明書の透明性の情報が有効化されるようになりました。
– MDChallengeDns01 が個々のドメイン毎に設定可能となりました。
– challenge の teardown 処理が想定通りに起動されないバグが修正されました。
* mod_http2: HTTP/2 ストリームをクライアントがリセットすると、不要な 500 エラーがアクセスログとエラードキュメントに報告されていました。リセットの処理自体は正しく行われており、不要なレポートだけが行われていました。この問題が修正されました。
* mod_proxy_uwsgi: バックエンドの HTTP レスポンスのパーシングや検証がより厳格に行われるようになりました。
詳細は以下をご覧ください。