Apache、セキュリティホール埋めた最新バージョンをリリース

　Apache Software Foundation（ASF）が米国時間5月28日、ウェブサーバApache HTTP Serverの最新バージョン2.0.46をリリースした。今回のアップデートは、これまで公開していなかったセキュリティホールをふさいでおり、ASFはシステム管理者に対して最新バージョンに早急にアップデートするよう呼びかけている。

　Apache HTTP Serverは、現在もっとも普及しているウェブサーバ。英Netcraftが行った最新の調査結果によると、全ウェブサイトの63％がApache HTTP Serverを使用しているという。

　最新バージョンでは複数の重大な脆弱性に関するパッチが含まれる。例えば、ApacheがWebDAV（World Wide Web Distributed Authoring and Versioning）の命令を実行する際に使用するコンポーネントに、悪意のあるコマンドを送付することで、サーバをクラッシュさせてしまう可能性があるという脆弱性を修復した。WebDAVはウェブの基盤となるHTTPの拡張仕様で、より高度なWebサービス機能をサイトで実現することができる。ただしWebDAVは、米Microsoftなどが開発したサーバソフトウェアで数多く見つかったセキュリティホールの発生源となっている。

　なおASFは、WebDAVの脆弱性に関して「詳細は5月30日に発表する」と述べている。

　また、今回の最新バージョンでは、認証モジュールに起因するセキュリティホールも修正した。これは、この脆弱性を利用して、悪意のあるユーザーが限定的なDoS攻撃を仕掛ける可能性がある。ただし、ASFは「この脆弱性で、未認証ユーザーがApache HTTP Serverのアクセス権を得られるとは思わない」と述べている。

　ASFは先月にもDoS攻撃の原因となり得る脆弱性を修正したアップデートを行っている。昨年後半は、Apacheサーバをターゲットにした破壊力の強いワームが、パッチ配布の前に広がってしまい、システム管理者が事態収拾にあわてふためく結果となったことがある。