Apache HTTP Server 2.4、重要な脆弱性修正 - アップデートを

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は27月3日、「JVNVU#97151944: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverの複数の脆弱性が修正されたと伝えた。これら脆弱性を悪用されると、攻撃者に情報を窃取されたり、コードを実行されたりする可能性がある。

○脆弱性に関する情報

修正された脆弱性に関する情報は次のページにまとまっている。

Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project

修正された脆弱性の情報(CVE)は次のとおり。

CVE-2024-36387 - HTTP/2接続におけるWebSocketプロトコルのアップグレード提供にNullポインタ逆参照の脆弱性

CVE-2024-38477 - mod_proxyにNullポインター逆参照の脆弱性

CVE-2024-38472 - WindowsのApacheにサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性

CVE-2024-38473 - mod_proxyに認証バイパスの脆弱性

CVE-2024-38474 - mod_rewriteのエンコード置換に脆弱性。攻撃者は許可されたディレクトリ内のスクリプトを実行できる

CVE-2024-38475 - mod_rewriteのエスケープ処理に脆弱性。攻撃者はURLから参照できないアクセス権(Apacheプロセスの権限)のあるファイルを閲覧できる

CVE-2024-38476 - Apacheコアに脆弱性。バックエンドアプリケーションを介して情報漏洩、サーバサイドリクエストフォージェリー、ローカルスクリプト実行の可能性がある

CVE-2024-39573 - mod_rewriteに潜在的なサーバーサイドリクエストフォージェリーの脆弱性

○脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

Apache HTTP Server 2.4.0から2.4.59までのバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Apache HTTP Server 2.4.60

The Apache Software Foundationはこれら脆弱性のうち、最も深刻度の高いものを重要(Important)と評価しており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。

The Apache Software Foundationは7月3日(米国時間)、「CVE-2024-39884」にて追跡されるソースコード開示の脆弱性を修正した「Apache HTTP Server 2.4.61」をリリースしている。アップデートを実施する際は、最新版に更新することが望まれる。
（後藤大地）