こんばんはわっしょい村です。2023年1月にApache2.4.55がリリースされました。またこのリリースにより3つのモジュールに対する脆弱性が解決されています。
- mod_dav: 攻撃者によって、プロセスをクラッシュされる – CVE-2006-20001
- mod_proxy_ajp: 攻撃者によって、悪意のあるリクエストをAJPサーバに転送される – CVE-2022-36760
- mod_proxy: 悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる – CVE-2022-37436
mod_proxy_ajpの脆弱性はHTTPリクエストスマグリングを受ける恐れがあるものです。これによりフィッシング、クロスサイトスクリプティング(XSS)などを受ける可能性もあります。
HTTPリクエストスマグリングはフロントエンドのWebサーバーとバックエンドのWebサーバーでHTTPリクエストに対し異なる解釈をしてしまうものです。
フロントエンドとバックエンドで別のサーバを使っている構成の方は対応が必要かと思います。
さて本題ですが、この最新のApache2.4.55を導入していきます。今回はCentOS8系と同様のAlmaLinux8でいきます。
Apacheの最新を入れる場合、Raven Modularリポジトリからパッケージを持ってくるのがあるあるですが、検証時にはhttpd-tools2.4.55あたりがRavenにまだ入ってないためエラーになりました。
のでpkgs.dyn.suから全て直で取ってきました(雑)。
# dnf install https://pkgs.dyn.su/el8/modular/x86_64/httpd/httpd-filesystem-2.4.55-2.el8.noarch.rpm
# dnf install https://pkgs.dyn.su/el8/modular/x86_64/httpd/httpd-tools-2.4.55-2.el8.x86_64.rpm
# dnf install https://pkgs.dyn.su/el8/modular/x86_64/httpd/httpd-2.4.55-2.el8.x86_64.rpm
# dnf install https://pkgs.dyn.su/el8/modular/x86_64/httpd/httpd-devel-2.4.55-2.el8.x86_64.rpm
# dnf install https://pkgs.dyn.su/el8/modular/x86_64/httpd/mod_ssl-2.4.55-2.el8.x86_64.rpm2023年4月18日追記: 2.4.55、2.4.56に脆弱性が見つかり2.4.57がリリースされたのでこちらの記事をご覧ください。
