独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月6日、Apache Software Foundation が提供する「Apache HTTPD」には、HTTP/2通信においてX.509クライアント証明書の認証処理に問題が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは7.5。「Apache HTTPD バージョン 2.4.18 から 2.4.20 まで」は、HTTP/2経由でリソースへのアクセスを提供する際に、クライアント証明書の検証結果を考慮しない脆弱性(CVE-2016-4979)が存在する。この脆弱性により、認証を必要とするコンテンツに認証なしでアクセスされる可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
