JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」において、Apache HTTP Serverに複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)攻撃を実行される可能性がある。
-
JVNVU#99032532: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
修正された脆弱性の情報(CVE)は次のとおり。
- CVE-2023-38709 - Apacheコアに誤った入力検証の脆弱性。悪意のある、または悪用可能なバックエンド/コンテンツ・ジェネレーターがHTTPレスポンスを分割する可能性がある
- CVE-2024-24795 - Apacheの複数のモジュールにおけるHTTPレスポンス分割の脆弱性。バックエンドアプリケーションに悪意のあるレスポンスヘッダーを注入できる攻撃者は、HTTP desync攻撃を実行できる可能性がある
- CVE-2024-27316 - HTTP/2プロトコルのCONTINUATIONフレームに制限が存在しない脆弱性。攻撃者はCONTINUATIONフレームを連続して送信し続けることでサービス運用妨害(DoS: Denial of Service)攻撃を実行できる可能性がある
脆弱性の影響を受ける製品
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Apache HTTP Server 2.4.58およびこれ以前のバージョン
脆弱性を修正した製品
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Apache HTTP Server 2.4.59およびこれ以降のバージョン
JPCERT/CCは開発者の提供する情報に基づいてアップデートを適用することを推奨している。
