JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月13日(米国時間)、「JVNVU#92184689: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、The Apache Software FoundationがApache HTTP Web Server 2.4系の複数の脆弱性を修正した最新版をリリースしたと伝えた。
対象の脆弱性を悪用されると、攻撃者によってシステムがサービス拒否状態に陥らされたり、リモートで任意のコードを実行されるなどの危険性がある。Apache HTTP Web Server 2.4の脆弱性に関する情報は次のページにまとまっている。
今回リリースされた最新版はApache HTTP Web Server 2.4.46で、これには以下の4つの脆弱性に対する修正が含まれているとのこと。
- CVE-2020-9490: Cache-Digestの値が特別に加工されたHTTP/2ヘッダを処理する際にPush Diaryがクラッシュする。
- CVE-2020-11984: mod_proxy_uwsgiにおけるバッファオーバーフローによって、mod_proxy_uwsgiの情報開示やリモートコード実行が行われる。
- CVE-2020-11985: mod_remoteipとmod_rewriteを使用する特定のルールでプロキシを動作させている場合、ログとPHPスクリプトで参照されるIPアドレスを偽装できる。
- CVE-2020-11993: HTTP/2モジュールでtrace/debugが有効な場合、特定のトラフィックパターンの通信に対して誤った接続でログステートメントが作成され、メモリプールに競合が発生する。
それぞれの脆弱性の影響を受けるバージョンは次のとおり。
- CVE-2020-9490: Apache HTTP Web Server 2.4.20から2.4.43
- CVE-2020-11984: Apache HTTP Web Server 2.4.32から2.4.43
- CVE-2020-11985: Apache HTTP Web Server 2.4.1から2.4.23
- CVE-2020-11993: Apache HTTP Web Server 2.4.20から2.4.43
各脆弱性の重要度は、CVE-2020-9490が「重要(important)」、CVE-2020-11984とCVE-2020-11993が「中(moderate)」、CVE-2020-11985が「低(low)」に分類されている。なお、CVE-2020-11985はバージョン2.4.24で修正済みの脆弱性であり、今回あらためてCVEが割り当てられたとのこと。JPCERT/CCでは、開発元が提供する情報を確認した上で、最新版へアップデートすることを推奨している。