JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は27月3日、「JVNVU#97151944: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverの複数の脆弱性が修正されたと伝えた。これら脆弱性を悪用されると、攻撃者に情報を窃取されたり、コードを実行されたりする可能性がある。
JVNVU#97151944: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
○脆弱性に関する情報
修正された脆弱性に関する情報は次のページにまとまっている。
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
修正された脆弱性の情報(CVE)は次のとおり。
CVE-2024-36387 - HTTP/2接続におけるWebSocketプロトコルのアップグレード提供にNullポインタ逆参照の脆弱性
CVE-2024-38477 - mod_proxyにNullポインター逆参照の脆弱性
CVE-2024-38472 - WindowsのApacheにサーバーサイドリクエストフォージェリー(SSRF: Server-Side Request Forgery)の脆弱性
CVE-2024-38473 - mod_proxyに認証バイパスの脆弱性
CVE-2024-38474 - mod_rewriteのエンコード置換に脆弱性。攻撃者は許可されたディレクトリ内のスクリプトを実行できる
CVE-2024-38475 - mod_rewriteのエスケープ処理に脆弱性。攻撃者はURLから参照できないアクセス権(Apacheプロセスの権限)のあるファイルを閲覧できる
CVE-2024-38476 - Apacheコアに脆弱性。バックエンドアプリケーションを介して情報漏洩、サーバサイドリクエストフォージェリー、ローカルスクリプト実行の可能性がある
CVE-2024-39573 - mod_rewriteに潜在的なサーバーサイドリクエストフォージェリーの脆弱性
○脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
Apache HTTP Server 2.4.0から2.4.59までのバージョン
○脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
Apache HTTP Server 2.4.60
The Apache Software Foundationはこれら脆弱性のうち、最も深刻度の高いものを重要(Important)と評価しており注意が必要。JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
The Apache Software Foundationは7月3日(米国時間)、「CVE-2024-39884」にて追跡されるソースコード開示の脆弱性を修正した「Apache HTTP Server 2.4.61」をリリースしている。アップデートを実施する際は、最新版に更新することが望まれる。
ハピタス
ITトピックス
ITランキング
- 1
暗号資産詐欺メール3万5,000件以上送付、イーサリアムからアドレス漏洩画像あり
- 2
ゲームアプリやSNS装った4つのAndroidアプリ、実はトロイの木馬画像あり
- 3
“変形式”AI宅配ボックス「スマロビ」発表会!ASUS「ROG Ally X」の予約を開始【まとめ記事】画像あり
- 4
2024年8月より、Microsoft Update経由でVisual Studioの更新が可能に画像あり
- 5
パブリッシャーはカンヌで プログラマティック広告 の可能性をマーケターにアピール画像あり
- 6
ナオセル、IVS2024 KYOTOに出展!シモキタ(下北線路街 空き地)・長野県白馬村でスマホ回収スポットの実証実験を実施画像あり
- 7
日本発プラントベースアイス「yumrich」、麻布台ヒルズマーケットにてPOPUPイベントを開催画像あり
- 8
ベルシステム24、生成AIで社員の″マイクロストレス″解消支援画像あり
- 9
はっとり・よしを コレクション展『マン・レイ や ジャンルー・シーフ など』を開催へ【Art Gallery M84】画像あり
- 10
GMOインターネットグループ、生成AIにより2024年上半期の業務時間を約67万時間削減画像あり