独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月21日、Apache HTTP Server 2.4における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apache HTTP Server 2.4.7から2.4.51 - CVE-2021-44224
Apache HTTP Server 2.4.51およびそれ以前 - CVE-2021-44790
The Apache Software FoundationからApache HTTP Server 2.4系には、フォワードプロキシとして設定されたhttpdにおけるNULLポインタ逆参照の脆弱性とmod_lua Multipart parserにおけるバッファオーバーフローの脆弱性があり、想定される影響としてはそれぞれ、フォワードプロキシとして設定されたhttpd(ProxyRequestsをOnに設定)に細工したURIを送信されることでクラッシュを引き起こされる可能性と、細工されたリクエストをmod_luaのMultipart parserが処理することでバッファオーバーフローを引き起こされる可能性がある。
The Apache Software Foundationでは、これらの脆弱性に対応したApache HTTP Server 2.4.52を公開しており、JVNではアップデートを呼びかけている。
