Apache HTTP Server 2.4に脆弱性、前回の不十分な対策を修正

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「JVNVU#99133886: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、コードの漏洩や攻撃者にNTLMハッシュを窃取される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project

脆弱性の情報(CVE)は次のとおり。

CVE-2024-40725 - ソースコード開示の脆弱性。不十分なCVE-2024-39884の修正により、ローカルコンテンツのソースコードを漏洩する可能性がある

CVE-2024-40898 - サーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性。WindowsのApache HTTP Serverにおいて、攻撃者の悪意のあるリクエストを通じてNTLMハッシュを窃取される可能性がある

○脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

Apache HTTP Server 2.4.0から2.4.61までのバージョン

○脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

Apache HTTP Server 2.4.62

Apache HTTP Serverのセキュリティアップデートは今月に入り3度目となる(参考：「Apache HTTP Server 2.4、重要な脆弱性修正 - アップデートを | TECH+（テックプラス）」)。JPCERTコーディネーションセンターは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。
（後藤大地）