Apache HTTP Serverに2件の脆弱性、修正版「2.4.52」リリース
Apache Software Foundationは12月20日(現地時間)、Webサーバソフトウェア「Apache HTTP Server」の最新版となるバージョン2.4.52をリリースした。このアップデートには機能改善や機能拡張のほかに、2件の脆弱性の修正が含まれている。これらの脆弱性を悪用されると、リモートの攻撃者によってアプリケーションがクラッシュさせられるなどの被害を受ける可能性がある。
Apache HTTP Server 2.4.52 Released - Apache HTTP Server Project
![](https://image.news.livedoor.com/newsimage/stf/9/1/914a2_1223_a1a32de4a76ab12ff740e9b58f4ee652.jpg)
Apache HTTP Server 2.4.52 Released
Apache HTTP Server 2.4.52で修正された脆弱性は次の2件。
CVE-2021-44224: フォワードプロキシが有効か環境において、悪意を持って細工されたURIによってSSRF(サーバサイドリクエストフォージェリ)が可能となり、結果としてNULLポインター逆参照によるクラッシュが引き起こされる可能性がある
CVE-2021-44790: マルチパートコンテキストをmod_luaで処理する際にバッファーオーバーフローが発生する可能性がある
CVE-2021-44224は2.4.7から2.4.51のバージョンが、CVE-2021-44790は2.4.51以前のバージョンが影響を受けるとのこと。脆弱性の影響度は、CVE-2021-44224が"中程度(moderate)"、CVE-2021-44790が高(high)に指定されている。
詳細は、公式サイトの次のページで確認することができる。
Fixed in Apache HTTP Server 2.4.52 - Apache HTTP Server 2.4 vulnerabilities
Apache Software Foundationでは、CVE-2021-44790について、2.4.52のリリース時点では悪用は確認されていないが、悪用することは可能だと説明している。
![](https://image.news.livedoor.com/newsimage/stf/9/1/914a2_1223_a1a32de4a76ab12ff740e9b58f4ee652.jpg)
Apache HTTP Server 2.4.52で修正された脆弱性は次の2件。
CVE-2021-44224: フォワードプロキシが有効か環境において、悪意を持って細工されたURIによってSSRF(サーバサイドリクエストフォージェリ)が可能となり、結果としてNULLポインター逆参照によるクラッシュが引き起こされる可能性がある
CVE-2021-44790: マルチパートコンテキストをmod_luaで処理する際にバッファーオーバーフローが発生する可能性がある
CVE-2021-44224は2.4.7から2.4.51のバージョンが、CVE-2021-44790は2.4.51以前のバージョンが影響を受けるとのこと。脆弱性の影響度は、CVE-2021-44224が"中程度(moderate)"、CVE-2021-44790が高(high)に指定されている。
詳細は、公式サイトの次のページで確認することができる。
Fixed in Apache HTTP Server 2.4.52 - Apache HTTP Server 2.4 vulnerabilities
Apache Software Foundationでは、CVE-2021-44790について、2.4.52のリリース時点では悪用は確認されていないが、悪用することは可能だと説明している。