Apache HTTP Server 2.4.59リリース、複数の脆弱性に対処

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverに複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。

• JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

脆弱性の概要

脆弱性に関する情報は次のページにまとまっている。

• Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project

修正された脆弱性の情報(CVE)は次のとおり。

• CVE-2023-38709 - Apacheコアに誤った入力検証の脆弱性。悪意のある、または悪用可能なバックエンド／コンテンツ・ジェネレーターがHTTPレスポンスを分割する可能性がある
• CVE-2024-24795 - Apacheの複数のモジュールにおけるHTTPレスポンス分割の脆弱性。バックエンドアプリケーションに悪意のあるレスポンスヘッダーを注入できる攻撃者は、HTTP desync攻撃を実行できる可能性がある
• CVE-2024-27316 - HTTP/2プロトコルのCONTINUATIONフレームに制限が存在しない脆弱性。攻撃者はCONTINUATIONフレームを連続して送信し続けることでサービス運用妨害(DoS: Denial of Service)攻撃を実行できる可能性がある

脆弱性の影響を受ける製品

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

• Apache HTTP Server 2.4.58およびこれ以前のバージョン

脆弱性を修正した製品

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

• Apache HTTP Server 2.4.59およびこれ以降のバージョン

JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。