このドキュメントは 2024 年 7 月 17 日にリリースされた Apache httpd 2.4.62 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
* CVE-2024-40898: Apache HTTP Server: Windows 上での server/vhost コンテキストでの mod_rewrite による SSRF。server/vhost で mode_rewrite を使用している Windows 上の Apache HTTP Server の SSRF により、NTML ハッシュが SSRF と悪意のあるリクエスト経由で悪意のあるサーバにリークする可能性がありました。この問題が修正されているバージョン 2.4.62 にアップグレードすることが推奨されます。(CVE-2024-40898)
* CVE-2024-40725: Apache HTTP Server: AddType により設定されたハンドラによるソースコードの公開。Apache HTTP Server 2.4.61 の core での CVE-2024-39884 に対する部分的な修正では、古い content-type ベースのハンドラの設定の使用方法が少々無視されていました。”AddType” や同様の設定では、ファイルが間接的に要求される環境下では、ローカルのコンテンツのソースコード公開に至ってしまう場合がありました。例えば、PHP スクリプトがプログラムとして解釈されず、そのまま提示されてしまう可能性がありました。この問題が修正されているバージョン 2.4.62 にアップグレードすることが推奨されます。(CVE-2024-40725)
不具合修正
* mod_proxy: SetHandler を使用して設定された “balancer:” URL についての正規化と FCGI env (PATH_INFO, SCRIPT_NAME) が修正され、BlanacerMember による “unix:” ソケットも可能となりました。(PR 69168)
* mod_proxy: SetHandler “unix:” URL についての AH01059 パーシングエラーが回避されるようになりました。(PR 69160)
* mod_ssl: OpenSSL 3.2 を使用する PKCS#11 ENGINE のサポートでのクラッシュが修正されました。
* mod_ssl: OpenSSL 3.x プロバイダによる pkcs11: URI からの証明書/鍵のロードがサポートされました。
* mod_ssl: OpenSSL >= 3.0 での trace7 loglevel での SSL のダンプ出力が復活されました。
* mpm_worker: 子プロセスが適切なタイミングで終了しないことについての警告(AH00045)が修正されました。
詳細は以下をご覧ください。