公開日:2024/07/03 最終更新日:2024/07/05

JVNVU#97151944
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.60が公開されました。

影響を受けるシステム

CVE-2024-36387

  • Apache HTTP Server 2.4.55 から 2.4.59
CVE-2024-38472、CVE-2024-38473、CVE-2024-38474、CVE-2024-38475、CVE-2024-38476、CVE-2024-38477、CVE-2024-39573
  • Apache HTTP Server 2.4.0 から 2.4.59

詳細情報

The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.60が公開されました。

  • WebSocket over HTTP/2接続時のNULLポインタ参照(CVE-2024-36387)
  • Windows用 Apache HTTP Serverにおけるサーバサイドリクエストフォージェリ(CVE-2024-38472)
  • mod_proxyにおける、出力に対する不適切なエンコード処理(CVE-2024-38473)
  • mod_rewriteにおける、出力に対する不適切なエンコードまたはエスケープ処理(CVE-2024-38474、CVE-2024-38475)
  • 信頼できない制御領域からの値を利用した処理の実行(CVE-2024-38476)
  • mod_proxyにおけるNULLポインタ参照(CVE-2024-38477)
  • mod_rewriteにおけるサーバサイドリクエストフォージェリ(CVE-2024-39573)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サーバープロセスが停止する(CVE-2024-36387、CVE-2024-38477)
  • NTMLハッシュが漏洩する(CVE-2024-38472)
  • 認証処理が回避される(CVE-2024-38473)
  • 特定のパスにおいて、スクリプトが実行されたり、ソースコードが漏えいしたりする(CVE-2024-38474、CVE-2024-38475)
  • システム内の情報が漏えいしたり、コードが実行されたりする(CVE-2024-38476)
  • URLの不正な置き換えやリダイレクトが行われる(CVE-2024-39573)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

【2024年7月4日追記】
本脆弱性を修正したApache HTTP Server 2.4.60にて不具合が発生し、2024年7月4日時点でバージョン2.4.61が公開されています。

ベンダ情報

ベンダ リンク
The Apache Software Foundation Fixed in Apache HTTP Server 2.4.60

参考情報

  1. Japan Vulnerability Notes JVNVU#97454228
    Apache HTTP Server 2.4に対するアップデート(CVE-2024-39884)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2024/07/04
[影響を受けるシステム]、[対策方法]を更新しました
2024/07/05
[影響を受けるシステム]の誤記を修正しました