Apache HTTP Web Server 2.4 の複数の脆弱性へアップデート公開

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月14日、Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes（JVN）」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2021.6.16 Wed 8:05

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は6月14日、Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデートについて「Japan Vulnerability Notes（JVN）」で発表した。影響を受けるシステムは以下の通り。

Apache HTTP Web Server 2.4.6 から 2.4.46（CVE-2019-17567）
Apache HTTP Web Server 2.4.0 から 2.4.46（CVE-2020-13938、CVE-2020-35452、CVE-2021-26690、CVE-2021-26691）
Apache HTTP Web Server 2.4.41 から 2.4.46（CVE-2020-13950）
Apache HTTP Web Server 2.4.39 から 2.4.46（CVE-2021-30641）
Apache HTTP Web Server 2.4.48 より前のバージョン（CVE-2021-31618）

　The Apache Software Foundation からApache HTTP Web Server 2.4 系における以下の複数の脆弱性に対応した Apache HTTP Web Server 2.4.48 が公開されている。

・mod_proxy_wstunnel に、本来 Web Socket へのアップグレードが必要のないコネクションもトンネリングさせてしまい、結果として HTTP 接続における認証、認可処理が機能しなくなる脆弱性（CVE-2019-17567）
・権限のないローカルユーザが httpd プロセスを停止できる脆弱性（CVE-2020-13938）
・mod_proxy_http に NULL ポインタ参照の脆弱性（CVE-2020-13950）
・mod_auth_digest にスタックオーバーフローの脆弱性（CVE-2020-35452）
・mod_session に NULL ポインタ参照の脆弱性（CVE-2021-26690）
・mod_session にヒープオーバーフローの脆弱性（CVE-2021-26691）
・MergeSlashes を OFF に設定している際、意図しない URL にマッチすると判定される脆弱性（CVE-2021-30641）
・HTTP/2 プロトコルハンドラに NULL ポインタ参照の脆弱性（CVE-2021-31618）

　JVNによると、想定される影響は各脆弱性により異なるが次のような影響を受ける可能性がある。

・認証回避（CVE-2019-17567）
・サービス運用妨害（DoS)（CVE-2020-13938、CVE-2020-13950、CVE-2021-26690、CVE-2021-31618）
・スタックオーバーフロー（CVE-2020-35452）
・ヒープオーバーフロー（CVE-2021-26691）
・意図しない URL に接続する（CVE-2021-30641）

　JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう注意を呼びかけている。

《ScanNetSecurity》