去る8/19にWebサーバーのアプリケーションApacheのバージョン2.4.41へのアップデートが発表されました。
2.4.41はApacheのモジュールの一部である「mod_http2」においてクラッシュを引き起こす攻撃、Dos攻撃に悪用される脆弱性や 「mod_rewrite」のオープンリダイレクトの危険性などに対応した最新のリヴィジョンです。

対象となる範囲は2.4.41以下のバージョン。
最新以下、つまりApacheを導入しているWebサーバーのほぼ全てということになります。

そもそもApache とは?

Webサーバーとしての機能を果たしているオープンソースのソフトウエアの一種です。
WebサーバーアプリケーションはApacheのほか、Nginx(エンジンエックス)、MicrosoftのIISGoogle Web Serverなどがあります。

利用者はこれらのソフトウエアを導入していないサーバーにアクセスした場合、Webサイトを閲覧できません。
Apacheはインターネットが一般普及し始めた頃から長らくの期間、主流とも言える存在で、利用者(ベンダー)も多く、そのシェアは数年前(2012年)までは過半数(60%以上)を超えていました。

しかし近年はリクエスト処理の高速化を謳ったNginxがシェアを大きく伸ばし、またIISも依然として安定したシェアを獲得していますが、Apacheは近年大きくシェアを落としており、2019年の現在ではWebサーバーのアプリケーションの約30%ほどだそうです。
各サービスが群雄割拠のような状態となっています。

Apacheは近年シェアを落としていますが、大きく普及しているサービスほど悪意のある攻撃者にも狙われやすくもなります。(とくにオープンソース)

今回取り上げたApacheモジュールの脆弱性はJPCERTより最新版へアップデートにてリスク回避とアナウンスされています。

Apacheに限らず、ミドルウェアを含め脆弱性が発見された場合は、速やかにリスクや影響範囲を洗い出し、優先度・緊急度を踏まえ、対策の是非について検討していかなければなりません。