Apacheに脆弱性
ITmediaにApache HTTP Serverに情報流出の脆弱性が発覚との記事。
mod_proxyに脆弱性とかと書いてありますが、情報を検索しているとmod_proxyじゃなくて、mod_rewriteのProxyがよくないとのこと。
こんなRewriteRuleがあるとまずい。
RewriteRule ^(.*)$ http://some_backend$1 [P]
RewriteRuleで$1とバックエンド指定の間にスラッシュがない場合、バックエンド側に任意のコードを埋め込まれて実行される危険性があるとのこと。
対処としては、
RewriteRule ^(.*)$ http://some_backend/$1 [P]
が有効だとのと。