旬のトピック、最新ニュースのマピオンニュース。地図の確認も。

Apache HTTP Web Server 2.4に複数の脆弱性、アップデートが必要 - JPCERT/CC

2020年08月14日21時37分 / 提供:マイナビニュース

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月13日(米国時間)、「JVNVU#92184689: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、The Apache Software FoundationがApache HTTP Web Server 2.4系の複数の脆弱性を修正した最新版をリリースしたと伝えた。

対象の脆弱性を悪用されると、攻撃者によってシステムがサービス拒否状態に陥らされたり、リモートで任意のコードを実行されるなどの危険性がある。Apache HTTP Web Server 2.4の脆弱性に関する情報は次のページにまとまっている。

httpd 2.4 vulnerabilities - The Apache HTTP Server Project

今回リリースされた最新版はApache HTTP Web Server 2.4.46で、これには以下の4つの脆弱性に対する修正が含まれているとのこと。

CVE-2020-9490: Cache-Digestの値が特別に加工されたHTTP/2ヘッダを処理する際にPush Diaryがクラッシュする。
CVE-2020-11984: mod_proxy_uwsgiにおけるバッファオーバーフローによって、mod_proxy_uwsgiの情報開示やリモートコード実行が行われる。
CVE-2020-11985: mod_remoteipとmod_rewriteを使用する特定のルールでプロキシを動作させている場合、ログとPHPスクリプトで参照されるIPアドレスを偽装できる。
CVE-2020-11993: HTTP/2モジュールでtrace/debugが有効な場合、特定のトラフィックパターンの通信に対して誤った接続でログステートメントが作成され、メモリプールに競合が発生する。

それぞれの脆弱性の影響を受けるバージョンは次のとおり。

CVE-2020-9490: Apache HTTP Web Server 2.4.20から2.4.43
CVE-2020-11984: Apache HTTP Web Server 2.4.32から2.4.43
CVE-2020-11985: Apache HTTP Web Server 2.4.1から2.4.23
CVE-2020-11993: Apache HTTP Web Server 2.4.20から2.4.43

各脆弱性の重要度は、CVE-2020-9490が「重要(important)」、CVE-2020-11984とCVE-2020-11993が「中(moderate)」、CVE-2020-11985が「低(low)」に分類されている。なお、CVE-2020-11985はバージョン2.4.24で修正済みの脆弱性であり、今回あらためてCVEが割り当てられたとのこと。JPCERT/CCでは、開発元が提供する情報を確認した上で、最新版へアップデートすることを推奨している。

続きを読む ]

このエントリーをはてなブックマークに追加

あなたにおすすめの記事

関連記事

ネタ・コラムカテゴリのその他の記事

マピオンニュース ページ上部へ戻る