Apache HTTP Server 2.4に複数の脆弱性 | ScanNetSecurity
2024.06.23(日)

Apache HTTP Server 2.4に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、Apache HTTP Server 2.4における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月15日、Apache HTTP Server 2.4における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

Apache HTTP Server 2.4.52およびそれ以前

 The Apache Software Foundationから、Apache HTTP Server 2.4系における下記の複数の脆弱性に対応したApache HTTP Server 2.4.53が公開されている。想定される影響は各脆弱性により異なるが、次のような影響を受ける可能性がある。

・mod_luaのr:parsebodyにおける、不適切な初期化の脆弱性(CVE-2022-22719)
→攻撃者によって細工されたリクエストを送信され、プロセスのクラッシュを引き起こされる

・HTTP Request Smuggling攻撃が可能になる脆弱性(CVE-2022-22720)
→攻撃者によってエラー発生時にインバウンド接続を閉じられないことを利用され、HTTP Request Smuggling攻撃をされる

・LimitXMLRequestBodyにて32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合(デフォルトは1MB)の整数オーバーフローまたはラップアラウンドの脆弱性(CVE-2022-22721)
→攻撃者によって整数オーバーフローを引き起こされ、領域外書き込みを行われる

・mod_sedにおける、整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性(CVE-2022-23943)
→攻撃者によってヒープメモリの上書きをされる

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×