リリースアナウンスを見ると、
脆弱性の修正が4件あげられている。
例によって無理やり訳してみた。
修正された脆弱性
CVE-2015-3183
- チャンクヘッダ構文解析の欠陥を修正した。
HTTP_INフィルタにあったバッファへの読み込み、複製を行うコード、apr_brigade_flatten()を削除した。
チャンクを単一の経路で複製なしで構文解析するようにした。
受け入れ可能なチャンクサイズを2^63-1に限定した。
そして、chunk-extの認定済み文字集合を厳密に適用した。 - http://svn.apache.org/viewvc?view=revision&revision=1684515
- どういう性格の脆弱性なのか、よく分からない。
今後脆弱性情報のページなどに情報が補完されるのだろうか。
現時点での印象としては、不正に細工したchunkedデータを使って
サーバに過剰にメモリを消費させることができるとかそういったことを想像している。 - (2015/7/21追記)
- http://httpd.apache.org/security/vulnerabilities_24.html#2.4.16
- HTTPリクエストsmuggling攻撃が可能だった。
悪意のあるクライアントはサーバにリクエスト長を間違って解釈をさせることができた。
もし中継にプロキシが利用されている場合に、これにより、キャッシュ汚染やクレデンシャルハイジャックが可能だった。
CVE-2015-3185
- ap_some_auth_required(Apache httpd 2.4では利用されていない関数)を新しい ap_some_authn_required関数とforce_authnフックに置き換えた。
- http://svn.apache.org/viewvc?view=revision&revision=1684525
- これもどういう脆弱性なのかがよく分からない。
認証を回避できるとか言ったことかもしれない。
CVE-2015-0253
- INCLUDEフィルタを有効にしていた場合、ErrorDocument 400がローカル環境のURLパスを指している場合にクラッシュする問題を修正した。
この問題は、2.4.11で入った。 - https://bz.apache.org/bugzilla/show_bug.cgi?id=57531
- http://svn.apache.org/viewvc?view=revision&revision=1668879
CVE-2015-0228
- スクリプトがr:wsupgrade()を実行した後の、悪意を持って細工されたwebソケットのPINGメッセージは、子プロセスのクラッシュを引き起こす可能性があった。
- http://svn.apache.org/viewvc?view=revision&revision=1664118
これ以外の主な修正内容
- SSLCipherSuiteとSSLProxyCipherSuiteのデフォルト設定を改善した。
- ProxySCGIInternalRedirectは、アプリケーションによって扱われる代替のレスポンスヘッダを指定できる。
- event MPMの改善
- 各種のmod_proxy_*モジュールの改善。
- ログ出力の形式に "%{UNIT}T" を追加。UNITに指定した時間単位(秒(s)、ミリ秒(ms)、マイクロ秒(us))でリクエスト処理時間を出力できる。
