このドキュメントは 2024 年 7 月 1 日にリリースされた Apache httpd 2.4.60 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* CVE-2024-39573: Apache HTTP Server: mod_rewrite のプロキシハンドラの置換。Apache HTTP Server 2.4.59 および、それ以前のバージョンの mod_rewrite の潜在的な SSRF により、攻撃者に、安全でない RewriteRule が mod_proxy で処理される URL を予想外に設定させてしまいます。(CVE-2024-39573)
* CVE-2024-38477: Apache HTTP Server: 悪意のあるリクエストによる mod_proxy でのクラッシュによるサービス妨害。Apache HTTP Server 2.4.59 および、それ以前のバージョンでの mod_proxy でのヌルポインタ逆参照により、攻撃者は悪意のあるリクエストでサーバをクラッシュさせることができました。(CVE-2024-38477)
* CVE-2024-38476: Apache HTTP Server による、悪用できる、あるいは悪意のあるバックエンドアプリケーションの出力を使っての内部リダイレクト経由でローカルのハンドラの実行。Apache HTTP Server 2.4.59 および、それ以前のバージョンのコア部分の脆弱性は、レスポンスヘッダが悪意のある、あるいは悪用可能なバックエンドアプリケーション経由による、情報の暴露、SSRF、ローカルスクリプト実行の可能性があります。注意: リクエストをハンドラに結び付ける ‘AddType’ ディレクティブの古い使い方をしている場合は、本修正適用後、’AddHandler’ を使用するように変更する必要があります。(CVE-2024-38476)
* CVE-2024-38475: Apache HTTP Server の置換の第一区分がファイルシステムのパスにマッチした場合の脆弱性。Apache HTTP Server 2.4.59 および、それ以前のバージョンの mod_rewrite の不適切な出力のエスケープ処理により、攻撃者は、Apache HTTP Server によりサービスを提供することは許されているが、何らかの URL では意図的に、あるいは直接的に到達することのできないファイルシステム上の位置に URL をマップすることができました。この結果、コードの実行やソースコードの暴露につながっていました。バックリファレンスや変数を置換の第一区分として使用している server コンテキストの置換が影響を受けます。安全でない RewriteRule の中にはこの変更により正しく機能しなくなるものがあり、書き換えフラグ “UnsafePrefixStat” を使って、置換が適切に制限されていることが保証されている状態に設定することができます。(CVE-2024-38475)
* CVE-2024-38474: Apache HTTP Server のバックリファレンスでのエンコードされた疑問符の脆弱性。Apache HTTP Server 2.4.59 および、それ以前のバージョンの mod_rewrite の置換のエンコーディングの問題により、攻撃者は、設定では許可されているが、なんらかの URL あるいは CGI として実行されることのみを意図して公開さえたスクリプトのソースでは直接到達できないディレクトリ上でのスクリプトの実行が可能になっていました。キャプチャや置換を安全ではないやり方で行う RewriteRule は、書き換えフラグ “UnsafeAllow3F” が指定されていない限り、失敗するようになりました。(CVE-2024-38474)
* CVE-2024-38473: Apache HTTP Server のプロキシエンコーディング問題。Apache HTTP Server 2.4.59 および、それ以前のバージョンの mod_proxy のエンコーディング問題は、誤ったエンコーディングのリクエスト URL をバックエンドサービスに送ることで、細工されたリクエストにより認証が回避される可能性がありました。(CVE-2024-38473)
* CVE-2024-38472: Windows 上の Apache HTTP Server の UNC SSRF。Windows 上の Apache HTTP Server on Windows の SSRF により、NTML ハッシュが悪意のあるサーバに SSRF および悪意のあるリクエストまたはコンテンツ経由で漏洩する可能性がありました。注意: UNC パスをアクセスする既存の設定では、リクエスト処理時にアクセスを許す、新たなディレクティブ “UNCList” を使って設定を行なう必要があります。(CVE-2024-38472)
* CVE-2024-36387: Apache HTTP Server: HTTP/2 越しの websocket でのヌルポインタによる DoS。HTTP/2 接続上で WebSocket のプロトコルアップグレードにより、Null ポインタの逆参照が発生し、その結果サーバプロセスのクラッシュにつながり、性能低下を招く可能性がありました。(CVE-2024-36387)
不具合修正
* mod_proxy: DNS リクエストと接続が設定された addressTTL の前にクローズされてしまう問題が修正されました。(BZ 69126)
* core: Linux で、エラーログに実スレッドIDがログ出力されるようになりました。
* core: Listen および VirtualHost ディレクティブの IPv6 のリンクローカルアドレスで zone/scope がサポートされました。APR 1.7.x あるいはそれ以降が必要です。(PR 59396)
* mod_ssl: TLS アラート付きのクライアント始動の再ネゴシエーションが、コネクションをクローズするのではなく、リジェクトされるようになりました。
* mime.types が更新されました。
* mod_ssl: 明示的に DH パラメータが設定されていない場合に、あるキーに対するデフォルトの DH パラメータが設定されず、実質的に DH 暗号を無効化してしまうリグレッションが修正されました。(PR 68863)
* mod_cgid: ファイル記述子の受け渡しのオプション的なサポートについて、Unix プラットフォームでのエラー処理(configure –enable-cgid-fdpassing) が修正されました。(PR 54221)
* mod_cgid/mod_cgi: スクリプトの stderr への出力がエラーログ中で明確に区別されるようになりました。(PR 61980)
* mod_tls: rustls-ffi のバージョンが v0.13.0 に更新されました。
* mod_md:
– OCSP ステープリング情報を使って、証明書の更新がトリガされるようになりました。
– ディレクティブ `MDCheckInterval` が追加され、検知された失効をどの程度の頻度でサーバがチェックするかを設定できるようになりました。設定方法についての提案が READE.md の “Revocations” の章に追加されています。
– OCSP ステープリング: RFC 6960 で許可されている、`nextUpdate` エントリなしの OCSP レスポンスが受け付けられるようになりました。これらは、更新間隔が 12 時間であるように取り扱われます。
– OpenSSL の API 変更に合わせて OpenSSL の使用方法が変更されました。
詳細は以下をご覧ください。