Apache HTTP Server にディレクトリトラバーサルの脆弱性、悪用する攻撃を確認済み | ScanNetSecurity
2021.10.21(木)

Apache HTTP Server にディレクトリトラバーサルの脆弱性、悪用する攻撃を確認済み

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月8日、Apache HTTP Server におけるディレクトリトラバーサルの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月8日、Apache HTTP Server におけるディレクトリトラバーサルの脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社インターネットイニシアティブ(IIJ)の熊坂駿吾氏が報告を行っている。影響を受けるシステムは以下の通り。

Apache HTTP Server 2.4.49 および 2.4.50

 The Apache Software Foundation が提供する Apache HTTP Server には、ディレクトリトラバーサルの脆弱性が存在し、想定される影響としては、遠隔の第三者によってドキュメントルート外に置かれた「require all denied」で保護されていないファイルにアクセスされる可能性がある。さらに、CGI スクリプトが有効な場合は、任意のコードを実行される可能性がある。

 The Apache Software Foundationは、本脆弱性を悪用する攻撃を確認していると公表済みで、JPCERT/CCでは、本脆弱性を実証するとみられるコードがすでに複数公開されている状況を確認している。

 IIJ SOCでも10月6日から、当該脆弱性を狙った通信を顧客環境で観測している。

 The Apache Software Foundationでは、本脆弱性を修正するバージョン2.4.51をリリースしている。

《ScanNetSecurity》

関連記事

PageTop

特集

アクセスランキング

  1. 非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

    非対面時代にハイブリッド開催を行う意味 ~ サイバーセキュリティ会議「CODE BLUE 2021」来週開催 会場参加チケット本日迄

  2. 日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

    日立グループが2021年12月にPPAP廃止、12/13以降送受信不可

  3. モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」

    モンハンよりも面白い? 攻撃者目線を学ぶ「イエラエアカデミー」PR

  4. 富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

    富士病院に不正アクセス、システム障害発生に伴い診療制限を実施

  5. 漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

    漏えい事故発生 その時企業は何をすべきか ~ 日本・台湾・タイ・EU 規制状況

  6. GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」

    GSXが中堅企業へ提供するセキュリティアセスメントサービスが教える「日本人がとても知りたいこと」PR

  7. NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

    NFT マーケットプレイス「nanakusa」に不正アクセス、一部NFTが外部流出

  8. NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

    NISC「ランサムウェア特設ページ STOP! RANSOMWARE」を開設、関係機関での取組と紹介

  9. オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

    オリンパス、EMEA地域に続き今度は米州で不正アクセス被害

  10. 教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

    教育機関デジタル化実態調査、オンライン学習に潜むサイバー不正行為に警鐘

ランキングをもっと見る