JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月16日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#98790275: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、Apache HTTP Web Server 2.4の脆弱性について伝えた。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • Apache HTTP Web Server 2.4.41よりも前のバージョン

上記のバージョンには次の脆弱性が存在する。

  • mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性 (CVE-2019-10092)
  • mod_rewrite に潜在的なオープンリダイレクトの脆弱性 (CVE-2019-10098)
  • mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性 (CVE-2019-10082)
  • mod_http2 にメモリ破壊の脆弱性 (CVE-2019-10081)
  • mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性 (CVE-2019-9517)
  • mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性 (CVE-2019-10097)

これら脆弱性を悪用されると、情報改竄、情報漏洩、悪質なページへのリダイレクト、サービス運用妨害攻撃などを引き起こされる危険性があるという。

  • Apache HTTP Server 2.4.41 Released

    Apache HTTP Server 2.4.41 Released

すでに脆弱性が修正されたバージョン「Apache HTTP Server 2.4.41」が公開されている。脆弱性の存在するバージョンを使用している場合、脆弱性が修正された最新バージョンへアップデートすることが望まれる。