このドキュメントは 2024 年 4 月 4 日にリリースされた Apache httpd 2.4.59 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* CVE-2024-27316: Apache HTTP Server: 際限のない連続したフレームによるメモリ枯渇となる HTTP/2 DoS。HTTP/2 入力ヘッダで制限を超えたものは一時的に nghttp2 のバッファに入れられて、有用な情報を含む HTTP 413 レスポンスの生成に備えます。クライアントがヘッダを送るのを止めない場合は、このためにメモリが枯渇します。この問題が修正されました。(CVE-2024-27316)
* CVE-2024-24795: Apache HTTP Server: HTTP レスポンスの複数モジュールでの分割。Apache HTTP Server での HTTP レスポンスの複数モジュールでの分割により、攻撃者は悪意のあるレスポンスヘッダをバックエンドアプリケーションに注入することで、HTTP desync 攻撃を引き起こすことができます。この問題が修正されました。(CVE-2024-24795)
* CVE-2023-38709: Apache HTTP Server: HTTP レスポンス分割。Apache core の誤った入力検査により、悪意のある、あるいは発現可能なバックエンド/コンテントジェネレータが HTTP レスポンスを分割することを許していました。この問題が修正されました。バージョン 2.4.58 までの Apache HTTP Server がこの問題の影響を受けます。(CVE-2023-38709)
不具合修正
* mod_deflate: 様々なエラーや例外的なケースの処理についてログ出力が修正および改善されました。
* CGIScriptTimeout が mod_cgi に追加されました。
* mod_xml2enc: libxml2 2.12.0 およびそれ以降が使用できるようになりました。
* mod_slotmem_shm: ap_os_is_path_absolute() を使用することで移植性が向上しました。
* mod_ssl: SSLCACertificatePath/SSLCADNRequestPath 向けの CA 名のリストを組み立てる際に OpenSSL 標準の機能が使われるようになりました。名前は一貫性を持って整列されます。(PR 61574)
* mod_xml2enc: 任意の text/ メディアタイプ、あるいは任意の XML メディアタイプを受け付ける検査が RFC 7303 に従うように更新されました。これにより、Microsoft OOXML フォーマットの破壊が回避されます。(PR 64339)
* mod_http2: v2.0.26 に更新され、以下の修正が行われています。
– HTTP/1.1 からアップグレードされた (h2c) `Date` ヘッダが修正されました。<https://github.com/icing/mod_h2/issues/272> が修正されています。
– h2 ヘッダバケットの解放における小さなメモリリークが修正されました。
* htcacheclean: -a/-A モードで、サブディレクトリ毎のファイルを一つだけでなく、全て一覧表示するようになりました。(PR 65091)
* mod_ssl: SSLProxyMachineCertificateFile/Path は、CA 証明書を含むファイルを参照することができるようになりました。これらの CA 証明書は SSLProxyMachineCertificateChainFile で設定されたかのように取り扱われます。
* htpasswd, htdbm, dbmmanage: ヘルプメッセージやドキュメントでパスワードの “encrypting” としていたところが、”hashing” に置き換えられました。
* LibreSSL 2.0.7 を使用した場合のビルドの問題が修正されました。(PR 64047)
* SHA-2 を使用するパスワードのサポートが追加されました。
* core: mod_env がシステムの環境変数を上書きできるようになりました。
* mod_dav_fs が、PROPINFO および、apr_dir_read() と apr_stat() の間でディレクトリやファイルを削除する操作の間の競合条件を許容するようになりました。現在の動作は接続をアボートしますが、これはエラーを許しつつログ出力を行うのに比べると劣ると思われます。
* mod_ldap: ldap-status ハンドラでデータが HTML エスケープされるようになりました。
* mod_ssl: OPENSSL_NO_ENGINE が設定されている場合は OpenSSL ENGINE API が無効化されるようになりました。特に OpenSSL >= 3 など、ENGINE API が利用可能でない場合には “SSLCryptoDevice builtin” が許されるようになりました。(PR 68080)
* mod_ssl: OpenSSL 3 との互換性が改善されました。非推奨となった ENGINE_ API についてのビルド時の警告が修正されました。デフォルトをバージョン 1.1.1 との互換性維持とする場合に OPENSSL_API_COMPAT 設定が参照されるようになりました(ENGINE / SSLCryptoDevice を含みます)。
* mod_ssl: 必要に応じてメモリが OS に返されるようになりました。
* mod_proxy: URL のホスト名あるいはポート部分で何らかのドル記号による置換(後方参照)が発生した場合に ProxyPassMatch で enablereuse=on が無視され、警告が出るようになりました。
* mod_proxy: バックエンドシステムの DNS 名前解決結果をどれぐらい長くキャッシュするかについて TTL が設定できるようになりました。
* mod_proxy: ProxyRemote にオプションの3番目の引数が追加されました。この引数は、リモートへ渡す Basic 認証のクレディンシャルを設定します。(PR 37355)
詳細は以下をご覧ください。