公開日:2017/06/20 最終更新日:2017/10/02

JVNVU#98416507
Apache HTTP Web Server における複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache HTTP Web Server に関する複数の脆弱性に対するアップデートが公開されました。

影響を受けるシステム

  • Apache HTTP Web Server 2.2.0 から 2.2.32 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
  • Apache HTTP Web Server 2.2.32 (CVE-2017-7668)
  • Apache HTTP Web Server 2.4.0 から 2.4.25 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
  • Apache HTTP Web Server 2.4.25 (CVE-2017-7659, CVE-2017-7668)

詳細情報

The Apache Software Foundation から、Apache HTTP Web Server に関する次の複数の脆弱性に対するアップデートが公開されました。

  • ap_get_basic_auth_pw() における認証回避の脆弱性 (CVE-2017-3167)
  • mod_ssl における NULL ポインタ参照の問題 (CVE-2017-3169)
  • mod_http2 における NULL ポインタ参照の問題 (CVE-2017-7659)
  • ap_find_token() におけるバッファオーバーリードの脆弱性 (CVE-2017-7668)
  • mod_mime におけるバッファオーバーリードの脆弱性 (CVE-2017-7679)

想定される影響

想定される影響は各脆弱性により異なりますが、サービス運用妨害 (DoS) などの影響を受ける可能性があります。

対策方法

アップデートまたはパッチを適用する
開発者が提供する情報をもとに、最新版にアップデートもしくはパッチを適用してください。

2.4 系の対策版として 2.4.26 がリリースされています。
2.2 系では、2017年06月20日時点でアップデートはリリースされていませんが、各脆弱性に対応したパッチがリリースされています。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
BizMobile株式会社 該当製品あり(調査中) 2017/07/24
ジェイティ エンジニアリング株式会社 該当製品無し 2017/06/22
日本電気株式会社 該当製品あり 2017/09/29
ベンダ リンク
The Apache Software Foundation Fixed in Apache httpd 2.4.26
Fixed in Apache httpd 2.2.33-dev

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679
JVN iPedia

更新履歴

2017/06/22
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/07/25
日本電気株式会社のベンダステータスが更新されました
2017/07/25
BizMobile株式会社のベンダステータスが更新されました
2017/10/02
日本電気株式会社のベンダステータスが更新されました