Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report) | ScanNetSecurity
2024.03.19(火)

Apache HTTP Server における URI の検証不備によるディレクトリトラバーサルの脆弱性(Scan Tech Report)

2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。

脆弱性と脅威 エクスプロイト
◆概要
 2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合は、意図しない動作の強制や、情報漏洩につながる可能性があります。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 当該脆弱性は CVE-2021-41773 として公表されましたが、脆弱性を修正したとされていた Apache HTTP Server 2.4.50 にパッチの回避による脆弱性の悪用が報告されたため、CVE-2021-42013 が脆弱性識別子として新たに発行されました。当該脆弱性では、対象の Apache HTTP Server の設定が弱い場合はディレクトリトラバーサルが可能となり、加えて mod_cgi が有効かされている場合は遠隔コード実行につながる脆弱性です。遠隔コード実行ができない場合でも、ディレクトリトラバーサルによりサーバ内部の情報の漏えいにつながるため、ソフトウェアのバージョンアップデートにより早急に対策してください。

◆深刻度(CVSS)
+ CVE-2021-41773
7.5
https://nvd.nist.gov/vuln/detail/CVE-2021-41773#:~:text=Base%20Score%3A%C2%A0-,7.5%20HIGH,-Vector%3A%C2%A0%20CVSS%3A3.1

+ CVE-2021-42013
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-42013&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
----------------------------------------------------------------------
◆影響を受けるソフトウェア
 以下のバージョンの Apache HTTP Server が当該脆弱性の影響を受けるとされています。

    + CVE-2021-41773
        - Apache HTTP Server 2.4.49
    + CVE-2021-42013
        - Apache HTTP Server 2.4.49
        - Apache HTTP Server 2.4.50

 OS のベンダによりパッケージとして配布されているものの場合は、ベンダ毎に独自にセキュリティパッチが適用されている場合があるため、各 OS ベンダの公式 Web サイトを確認してください。

◆解説
 世界的なシェアを誇る HTTP サーバソフトウェアである Apache HTTP Server に、情報漏えいや遠隔コード実行につながる可能性がある、ディレクトリトラバーサルの脆弱性が報告されています。
《株式会社ラック デジタルペンテスト部》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×