概要
GFI LanGuardに統合されているApache HTTPサーバーのインストールバージョンが古いと報告されたり、既知のセキュリティ脆弱性があると指摘されたりしています。
弊社のエンジニアリングチームは、Apacheを最新バージョンにアップグレードする作業をすでに行っています。テストの後、アップグレードされたApacheがLanGuardの自動プログラムアップデートを通じて提供される予定ですが、リリース日は決まっていません。
解決策
脆弱性スキャナや侵入ツールによって、Apacheサーバソフトウェアには定期的に脆弱性が発見されます。 LanGuardや、Nessusなどのセキュリティスキャナは、システム内に脆弱性が存在するというメッセージを返すことがあります。これは通常、LanGuardのApache Webサーバーが最新バージョンに更新されていない場合や、LanGuardサーバー自体が最新バージョンではない場合に起こります。
LanGuardが最新バージョンでない場合は、LanGuardを最新のリリースにアップグレードしてください。Apache Webサーバーを含む新製品のアップデートは、LanGuardの最新バージョンに対してのみ提供されます。
LanGuard製品の現行リリースの途中で、Apacheサーバーの新バージョンがリリースされることがあります。このような場合、GFI開発部はサーバーの新バージョンを調査・テストし、LanGuardの機能に悪影響を及ぼさないことを確認します。
エンジニアリングチームは、通常6ヶ月ごとに行われるリリースごとに、Apacheサーバーのバージョンをテストし、アップグレードします。 重要な脆弱性がそれより早くに報告され、テストの結果、悪影響がないと判断された場合は、現行のリリースに合わせてアップグレードが行われます。 新しいサーバーバージョンの機能が確認されると、すぐにリリースされます。このアップデートは、プログラム更新モジュールを介して自動的に行われます。
リリース間では、Apacheサーバーの一部の要素が古くなり、それが特定の脆弱性の原因になることがあります。Apacheサーバーは、GFI LanGuardの中で、キャッシュプロキシ機能(リレーエージェント)と、サーバーとエージェント間でスキャン結果を通信する際の高速CGI機能に使用されています。つまりGFI LanGuardのバージョンのApacheは、すべてのモジュール(SSLなど)を使用しているわけではないことを意味します。このため、報告されているApacheの脆弱性の中には、弊社のバージョンには適用されないものもあります。
重要: GFI LanGuard 統合 Apache サーバーのアップグレードは、弊社のエンジニアリングチームによるテストの後にのみ行われます。手動でApacheのバージョンを更新しようとすると、LanGuardが破損します。
確認方法
バージョンを更新した後は、プログラムの更新によって自動的に配信されるため、通常は更新を受け取るための操作は必要ありません。LanGuardのプログラムアップデートが完了したら、Apacheのバージョンを検証するためには以下を実施してください。
- C:Program Files (x86)‾‾GFI‾‾LanGuard 12 Agent‾‾Httpd‾‾bin」に移動してください。
- httpd.exeというファイルを探し、右クリックしてプロパティを開いてください。
- 詳細タブを選択し、バージョンを確認してください。
古いバージョンが表示される場合は、プログラムの更新に失敗したか、または更新されていない可能性があります。この場合は、手動で製品のアップデートを行ってください。