公開日:2023/10/20 最終更新日:2023/10/20

JVNVU#93413100
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.58が公開されました。

影響を受けるシステム

CVE-2023-31122、CVE-2023-45802

  • Apache HTTP Server 2.4.57およびそれ以前
CVE-2023-43622
  • Apache HTTP Server 2.4.55から2.4.57まで

詳細情報

The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.58が公開されました。

  • mod_macroにおけるバッファ外読み取りの脆弱性 - CVE-2023-31122
  • 初期ウィンドウサイズ0のHTTP/2接続による当該サーバーのリソース消費の問題 - CVE-2023-43622
  • HTTP/2ストリームメモリがRSTですぐに再利用されない問題 - CVE-2023-45802

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 攻撃者によって、境界外の情報を読み取られる - CVE-2023-31122
  • 攻撃者によって、複数の初期ウィンドウサイズ0のHTTP/2接続を実施され、サービス運用妨害(DoS)状態にされる - CVE-2023-43622
  • コネクションがクローズするまで、クライアントから新しいリクエストとリセットが送られることで、メモリフットプリントが増大し続ける - CVE-2023-45802

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation Fixed in Apache HTTP Server 2.4.58

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia