公開日:2021/12/21 最終更新日:2021/12/21

JVNVU#97805418
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

The Apache Software FoundationからApache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.52が公開されました。

影響を受けるシステム

  • Apache HTTP Server 2.4.7から2.4.51 - CVE-2021-44224
  • Apache HTTP Server 2.4.51およびそれ以前 - CVE-2021-44790

詳細情報

The Apache Software FoundationからApache HTTP Server 2.4系における次の脆弱性に対応したApache HTTP Server 2.4.52が公開されました。

  • フォワードプロキシとして設定されたhttpdにおけるNULLポインタ逆参照の脆弱性 - CVE-2021-44224
  • mod_lua Multipart parserにおけるバッファオーバーフローの脆弱性 - CVE-2021-44790

想定される影響

脆弱性が悪用された場合、次のような影響を受ける可能性があります。

  • フォワードプロキシとして設定されたhttpd(ProxyRequestsをOnに設定)に細工したURIを送信されることでクラッシュを引き起こされる - CVE-2021-44224
  • 細工されたリクエストをmod_luaのMultipart parserが処理することでバッファオーバーフローを引き起こされる - CVE-2021-44790

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation Apache HTTP Server 2.4.52 Released
Fixed in Apache HTTP Server 2.4.52

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia