Apache Software Foundationは、17日、Apacheウェブサーバのチャンク転送エンコードにセキュリティホールがあると発表した。チャンク転送エンコード機能はデフォルトで有効になっているため、Apacheを使用して運用されている多くのウェブサーバにこのセキュリティホールが存在することになる。
対象となるApacheのバージョンは、1.3〜1.3.24、および2.0〜2.0.36。プラットフォームも、当初脆弱性が確認されたWindows版のほか、32bit UNIX、64bit UNIXなどでも影響を受けるという。
チャンク転送エンコードの脆弱性は、リモートから攻撃可能なもので、攻撃者はサービス拒否(DoS)攻撃をおこなえるほか、一部のApache1.3.x環境ではバッファオーバーフローを起こして任意のコードを実行することも可能となる(コード実行の可能性についてはWindows上のApache1.3で確認された)。
現在、Apache Software Foundationはこの問題に対処した新版のリリースを準備している。
《RBB TODAY》
page top
