JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は27月3日、「JVNVU#97151944: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverの複数の脆弱性が修正されたと伝えた。これら脆弱性を悪用されると、攻撃者に情報を窃取されたり、コードを実行されたりする可能性がある。
脆弱性に関する情報
修正された脆弱性に関する情報は次のページにまとまっている。
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2024-36387 - HTTP/2接続におけるWebSocketプロトコルのアップグレード提供にNullポインタ逆参照の脆弱性
- CVE-2024-38477 - mod_proxyにNullポインター逆参照の脆弱性
- CVE-2024-38472 - WindowsのApacheにサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性
- CVE-2024-38473 - mod_proxyに認証バイパスの脆弱性
- CVE-2024-38474 - mod_rewriteのエンコード置換に脆弱性。攻撃者は許可されたディレクトリ内のスクリプトを実行できる
- CVE-2024-38475 - mod_rewriteのエスケープ処理に脆弱性。攻撃者はURLから参照できないアクセス権(Apacheプロセスの権限)のあるファイルを閲覧できる
- CVE-2024-38476 - Apacheコアに脆弱性。バックエンドアプリケーションを介して情報漏洩、サーバサイドリクエストフォージェリー、ローカルスクリプト実行の可能性がある
- CVE-2024-39573 - mod_rewriteに潜在的なサーバーサイドリクエストフォージェリーの脆弱性
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Apache HTTP Server 2.4.0から2.4.59までのバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Apache HTTP Server 2.4.60
The Apache Software Foundationはこれら脆弱性のうち、最も深刻度の高いものを重要(Important)と評価しており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
The Apache Software Foundationは7月3日(米国時間)、「CVE-2024-39884」にて追跡されるソースコード開示の脆弱性を修正した「Apache HTTP Server 2.4.61」をリリースしている。アップデートを実施する際は、最新版に更新することが望まれる。