公開日:2024/07/18 最終更新日:2024/07/18

JVNVU#99133886
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.62が公開されました。

影響を受けるシステム

CVE-2024-40725

  • Apache HTTP Server 2.4.60から2.4.61
CVE-2024-40898
  • Apache HTTP Server 2.4.0から2.4.61

詳細情報

The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.62が公開されました。

  • Apache HTTP Server 2.4.61のコアで発生した不具合(CVE-2024-39884)に対する修正が不十分で、「AddType」や類似の設定に基づいたコンテンツタイプの一部が無視される問題(CVE-2024-40725)
  • Windows上のApache HTTP Serverにおいて、mod_rewriteをserver/vhostコンテキストで使用した場合に、サーバサイドリクエストフォージェリが発生する問題(CVE-2024-40898)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ローカルコンテンツのソースコードが窃取される(CVE-2024-40725)
  • NTMLハッシュが漏えいする(CVE-2024-40898)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation Fixed in Apache HTTP Server 2.4.62

参考情報

  1. Japan Vulnerability Notes JVNVU#97454228
    Apache HTTP Server 2.4に対するアップデート(CVE-2024-39884)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia