公開日:2020/08/13 最終更新日:2020/08/24

JVNVU#92184689
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における複数の脆弱性に対応した Apache HTTP Web Server 2.4.46 が公開されました。

影響を受けるシステム

  • Apache HTTP Web Server 2.4.20 から 2.4.43 - CVE-2020-9490、CVE-2020-11993
  • Apache HTTP Web Server 2.4.32 から 2.4.43 - CVE-2020-11984
  • Apache HTTP Web Server 2.4.1 から 2.4.23 - CVE-2020-11985

詳細情報

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.46 が公開されました。

  • Cache-Digest の値を細工された HTTP/2 リクエストを処理することで Push Diary がクラッシュする脆弱性 - CVE-2020-9490
  • mod_proxy_uwsgi にバッファオーバーフローの脆弱性 - CVE-2020-11984
  • mod_remoteip および mod_rewrite を用いる特定の設定を行って動作させている場合に、ログや PHP スクリプトで参照される IP アドレスが偽装可能な脆弱性 - CVE-2020-11985
  • HTTP/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性 - CVE-2020-11993
なお開発者によると、CVE-2020-11985 は Apache HTTP Web Server 2.4.24 で修正されましたが、今回あらためて CVE を割り当てたとのことです。
詳しくは、開発者が提供する情報をご確認ください。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • サービス運用妨害 (DoS) - CVE-2020-9490、CVE-2020-11993
  • 任意のコード実行 - CVE-2020-11984
  • IP スプーフィング - CVE-2020-11985

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2020/08/21
ベンダ リンク
The Apache Software Foundation Apache HTTP Server 2.4.46 Released
Fixed in Apache httpd 2.4.44

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2020-9490
CVE-2020-11984
CVE-2020-11985
CVE-2020-11993
JVN iPedia

更新履歴

2020/08/21
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2020/08/24
【想定される影響】の情報を修正しました