JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は3月15日、「JVNVU#99602154: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、The Apache Software FoundationがApache HTTP Server 2.4系の複数の脆弱性を修正したバージョン2.4.53をリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によって対象のシステム上でプロセスのクラッシュやリクエストスマグリング、メモリ上のデータの上書きなどの被害を受ける危険性がある。

Apache HTTP Server 2.4.53で修正された脆弱性に関する詳細は、公式サイトの次のセキュリティ情報ページにまとめられている。

  • Apache HTTP Server 2.4.53で修正された脆弱性

    Apache HTTP Server 2.4.53で修正された脆弱性

今回のアップデートでは、次の4件の脆弱性が修正されている。

  • CVE-2022-22719:mod_luaのr:parsebodyにおける不適切な初期化の影響で、加工されたリクエストボディによってプロセスがクラッシュする
  • CVE-2022-22720:エラーが発生したときにインバウンド接続を閉じることができず、リクエストスマグリング攻撃が可能になる
  • CVE-2022-22721:LimitXMLRequestBodyの設定が32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合、整数オーバーフローが発生する
  • CVE-2022-23943:mod_sedにおける範囲外のメモリ書き込みの脆弱性によって、ヒープメモリを任意のデータで上書きできる

脆弱性の深刻度は、CVE-2022-22720とCVE-2022-23943が「Important(重要)」、CVE-2022-22719が「Moderate(中程度)」、CVE-2022-22721が「Low(低)」に分類されている。JPCERT/CCでは開発者の提供する情報に基づいてアップデートを適用することを推奨している。