Apache HTTP Server 2.4に複数の脆弱性、対策版へのアップデートを

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月18日、「JVNVU#99928083: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Server 2.4系に複数の脆弱性が報告されていると伝えた。これら脆弱性を悪用されると、攻撃者によってプロセスをクラッシュさせられたり、AJPサーバに対して悪意のあるリクエスト送られたりするなどの危険性がある。

開発元のApache Software Foundationは、2023年1月17日（現地時間）に今回報告された脆弱性を修正したApache HTTP Server 2.4.55をリリースした。このリリースに関する詳細は次のリリースノートにまとめられており、3件の脆弱性を修正したことについても説明されている。

Apache HTTP Server Project
Changes with Apache 2.4.55

今回リリースされたバージョン2.4.55では、次の3件の脆弱性が修正されたという。

CVE-2006-20001 - mod_devにおける境界外読み取りまたは0バイトの書き込みの脆弱性により、攻撃者によってプロセスをクラッシュされる可能性がある
CVE-2022-36760 - mod_proxy_ajpにおけるHTTPリクエストスマグリングの脆弱性により、攻撃者によって悪意のあるリクエストをAJP(Apache JServ Protocol)サーバに転送される可能性がある
CVE-2022-37436 - mod_proxyにおけるバックエンドがHTTPレスポンスヘッダを分割可能な問題により、悪意のあるバックエンドによってレスポンスヘッダを切り取られる可能性がある

Apache HTTP Server 2.4.54およびそれ以前のバージョンがこれらの脆弱性の影響を受ける危険性があるとのこと。JPCERT/CCでは、Apache Software Foundationが提供する情報をもとに、最新版へのアップデートを実施することを推奨している。