◆概要
2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合は、意図しない動作の強制や、情報漏洩につながる可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は CVE-2021-41773 として公表されましたが、脆弱性を修正したとされていた Apache HTTP Server 2.4.50 にパッチの回避による脆弱性の悪用が報告されたため、CVE-2021-42013 が脆弱性識別子として新たに発行されました。当該脆弱性では、対象の Apache HTTP Server の設定が弱い場合はディレクトリトラバーサルが可能となり、加えて mod_cgi が有効かされている場合は遠隔コード実行につながる脆弱性です。遠隔コード実行ができない場合でも、ディレクトリトラバーサルによりサーバ内部の情報の漏えいにつながるため、ソフトウェアのバージョンアップデートにより早急に対策してください。
◆深刻度(CVSS)
+ CVE-2021-41773
7.5
https://nvd.nist.gov/vuln/detail/CVE-2021-41773#:~:text=Base%20Score%3A%C2%A0-,7.5%20HIGH,-Vector%3A%C2%A0%20CVSS%3A3.1
+ CVE-2021-42013
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-42013&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
----------------------------------------------------------------------
◆影響を受けるソフトウェア
以下のバージョンの Apache HTTP Server が当該脆弱性の影響を受けるとされています。
+ CVE-2021-41773
- Apache HTTP Server 2.4.49
+ CVE-2021-42013
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
OS のベンダによりパッケージとして配布されているものの場合は、ベンダ毎に独自にセキュリティパッチが適用されている場合があるため、各 OS ベンダの公式 Web サイトを確認してください。
◆解説
世界的なシェアを誇る HTTP サーバソフトウェアである Apache HTTP Server に、情報漏えいや遠隔コード実行につながる可能性がある、ディレクトリトラバーサルの脆弱性が報告されています。
2021 年 10 月に、世界的に利用されている Web サーバである Apache HTTP Server に、遠隔からの任意のコード実行につながる可能性がある脆弱性が報告されています。攻撃者により脆弱性を悪用されてしまった場合は、意図しない動作の強制や、情報漏洩につながる可能性があります。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
当該脆弱性は CVE-2021-41773 として公表されましたが、脆弱性を修正したとされていた Apache HTTP Server 2.4.50 にパッチの回避による脆弱性の悪用が報告されたため、CVE-2021-42013 が脆弱性識別子として新たに発行されました。当該脆弱性では、対象の Apache HTTP Server の設定が弱い場合はディレクトリトラバーサルが可能となり、加えて mod_cgi が有効かされている場合は遠隔コード実行につながる脆弱性です。遠隔コード実行ができない場合でも、ディレクトリトラバーサルによりサーバ内部の情報の漏えいにつながるため、ソフトウェアのバージョンアップデートにより早急に対策してください。
◆深刻度(CVSS)
+ CVE-2021-41773
7.5
https://nvd.nist.gov/vuln/detail/CVE-2021-41773#:~:text=Base%20Score%3A%C2%A0-,7.5%20HIGH,-Vector%3A%C2%A0%20CVSS%3A3.1
+ CVE-2021-42013
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2021-42013&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
----------------------------------------------------------------------
◆影響を受けるソフトウェア
以下のバージョンの Apache HTTP Server が当該脆弱性の影響を受けるとされています。
+ CVE-2021-41773
- Apache HTTP Server 2.4.49
+ CVE-2021-42013
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
OS のベンダによりパッケージとして配布されているものの場合は、ベンダ毎に独自にセキュリティパッチが適用されている場合があるため、各 OS ベンダの公式 Web サイトを確認してください。
◆解説
世界的なシェアを誇る HTTP サーバソフトウェアである Apache HTTP Server に、情報漏えいや遠隔コード実行につながる可能性がある、ディレクトリトラバーサルの脆弱性が報告されています。
![「当たり前」を疑ってみる/米 サイバー技術輸出規制強化/MS IBM Googleに偽するカメレオン ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/36200.jpg)
