Apache HTTP Serverのmod_proxyに脆弱性

 2011年10月6日、Apache HTTP Serverのmod_proxyに脆弱性が発見された。リバースプロクシとしてApacheを利用している場合に影響を受けるという。脆弱性が存在するのはhttpd 1.3系の全バージョンと、2.x系の全バージョン。

 発見された脆弱性は、httpdの設定において「RewriteRule」もしくは「ProxyPassMatch」ディレクティブを用いたリバースプロクシに関連するもの。特定の細工を加えたURLリクエストを送信することで、非公開サーバーへの意図しないアクセスを許してしまうという。URLのパターンマッチ時に有効なパス文字列であるかどうかを検証しないため、パターンが意図しないURLに展開されてしまうとのこと。

 この問題は今後修正される予定。現在脆弱性を持つバージョンのhttpdを利用しているユーザーに対しては、公開されているパッチを適用するか、もしくは「RewriteRule」ディレクティブなどを用いて不正なURLに展開されないよう設定を行うといった対処が提案されている。

Apache HTTP Server
http://httpd.apache.org/

Advisory: mod_proxy reverse proxy exposure (CVE-2011-3368)
http://mail-archives.apache.org/mod_mbox/httpd-announce/201110.mbox/browser