なんか、ニュースサイトを見たら、最近のapacheに驚愕の脆弱性があることが発覚したらしく、アップデートが推奨されていることを知る。

長年セキュリティホールが発見されるたびに対策修正でアップデートしてきたapache 2.4だけど、近年発覚したサーバーディレクトリ外のファイルシステム上のファイルをアクセスできる脆弱性が対策されたばかりなのに、その対策に抜け穴があったらしい。

httpのURIではunixのファイルパス記述と互換なので、..を使用して親ディレクトリを参照することができるけど、それをやると仮想ディレクトリの更に上の/まで遡ることができ、/配下の任意のディレクトリ内のファイルがアクセスできるという驚愕の事実。

そこで対策として、..をパターンチェックする処理が加わったわけだけど、httpでは、特殊文字は%でエスケープして等価な文字として渡すことが出来る点を配慮していなかった。なので%でエスケープした.文字をURIに使用することができ、依然としてセキュリティホールが開いたままだったということが発覚したらしい。

対策としては対策が修正された、apache 2.4.50にアップデートするしかないぽい。

ということで当サイトも早速、入れ替えました。

問題があった2.4.49より前のバージョンならそのままでもいいらしいけどね。

そんだけ。