独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、Apache HTTP Server 2.4における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apache HTTP Server 2.4.52およびそれ以前
The Apache Software Foundationから、Apache HTTP Server 2.4系における下記の複数の脆弱性に対応したApache HTTP Server 2.4.53が公開されている。想定される影響は各脆弱性により異なるが、次のような影響を受ける可能性がある。
・mod_luaのr:parsebodyにおける、不適切な初期化の脆弱性(CVE-2022-22719)
→攻撃者によって細工されたリクエストを送信され、プロセスのクラッシュを引き起こされる
・HTTP Request Smuggling攻撃が可能になる脆弱性(CVE-2022-22720)
→攻撃者によってエラー発生時にインバウンド接続を閉じられないことを利用され、HTTP Request Smuggling攻撃をされる
・LimitXMLRequestBodyにて32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合(デフォルトは1MB)の整数オーバーフローまたはラップアラウンドの脆弱性(CVE-2022-22721)
→攻撃者によって整数オーバーフローを引き起こされ、領域外書き込みを行われる
・mod_sedにおける、整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性(CVE-2022-23943)
→攻撃者によってヒープメモリの上書きをされる
JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。
![ウクライナ政府、ボランティアのサイバー攻撃軍創設/「米国はサイバー活動において中国に対抗できるリーダーシップを持っていない」 ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/37558.jpg)
