公開日:2024/04/05 最終更新日:2024/04/05

JVNVU#99032532
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

概要

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.59が公開されました。

影響を受けるシステム

CVE-2023-38709

  • Apache HTTP Server 2.4.58およびそれ以前
CVE-2024-24795
  • Apache HTTP Server 2.4.0から2.4.58まで
CVE-2024-27316
  • Apache HTTP Server 2.4.17から2.4.58まで

詳細情報

The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.59が公開されました。

  • Apache HTTP Serverのコア機能におけるHTTPレスポンス分割の問題(CVE-2023-38709)
  • 複数のモジュールにおけるHTTPレスポンス分割の問題(CVE-2024-24795)
  • HTTP/2 CONTINUATIONフレームの検証不備に起因したメモリ枯渇の問題(CVE-2024-27316)

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • Apache HTTP Serverのコア機能の入力検証に誤りがあり、悪意のある、または悪用可能なバックエンド/コンテンツジェネレーターによって、HTTPレスポンスを分割される(CVE-2023-38709)
  • 細工したレスポンスヘッダをバックエンドアプリケーションに注入可能な攻撃者によって、HTTP desync攻撃を実行される(CVE-2024-24795)
  • END_HEADERSフラグが設定されていないHTTP/2 CONTINUATIONフレームを送信され続けた場合、メモリ枯渇が発生してサービス運用妨害(DoS)状態を引き起こされる(CVE-2024-27316)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
The Apache Software Foundation Fixed in Apache HTTP Server 2.4.59

参考情報

  1. CERT/CC Vulnerability Note VU#421644
    HTTP/2 CONTINUATION frames can be utilized for DoS attacks
  2. nowotarski.info
    HTTP/2 CONTINUATION Flood: Technical Details

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia