Apache HTTP Web Server 2.4系アップデート、複数の脆弱性に対応（JVN）

IPAおよびJPCERT/CCは、Apache Software Foundationが提供する「Apache HTTP Web Server 2.4系」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

47 views

2019.8.20 Tue 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は8月16日、Apache Software Foundationが提供する「Apache HTTP Web Server 2.4系」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。これは、The Apache Software Foundation から複数の脆弱性に対するアップデートが公開されたことを受けたもの。

影響を受けるバージョンと脆弱性は次の通り。

・Apache HTTP Web Server 2.4.41 より前のバージョン

mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性（CVE-2019-10092）
mod_rewrite に潜在的なオープンリダイレクトの脆弱性（CVE-2019-10098）
mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性（CVE-2019-10082）
mod_http2 にメモリ破壊の脆弱性（CVE-2019-10081）
mod_http2 に h2 worker 枯渇によるサービス運用妨害（DoS）攻撃の脆弱性（CVE-2019-9517）
mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性（CVE-2019-10097）

The Apache Software Foundationでは、複数の脆弱性に対応した最新版「Apache HTTP Web Server 2.4.41」を公開している。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》