JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月16日(米国時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#98790275: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、Apache HTTP Web Server 2.4の脆弱性について伝えた。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- Apache HTTP Web Server 2.4.41よりも前のバージョン
上記のバージョンには次の脆弱性が存在する。
- mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性 (CVE-2019-10092)
- mod_rewrite に潜在的なオープンリダイレクトの脆弱性 (CVE-2019-10098)
- mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性 (CVE-2019-10082)
- mod_http2 にメモリ破壊の脆弱性 (CVE-2019-10081)
- mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性 (CVE-2019-9517)
- mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性 (CVE-2019-10097)
これら脆弱性を悪用されると、情報改竄、情報漏洩、悪質なページへのリダイレクト、サービス運用妨害攻撃などを引き起こされる危険性があるという。
-
Apache HTTP Server 2.4.41 Released
すでに脆弱性が修正されたバージョン「Apache HTTP Server 2.4.41」が公開されている。脆弱性の存在するバージョンを使用している場合、脆弱性が修正された最新バージョンへアップデートすることが望まれる。
