公開日:2016/12/21 最終更新日:2023/07/03
JVNVU#99304449
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における複数の脆弱性に対応した Apache HTTP Web Server 2.4.25 が公開されました。
- Apache HTTP Web Server 2.4.25 より前のバージョン
The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.25 が公開されました。
- mod_session_crypto における Padding Oracle 攻撃が可能になる脆弱性 - CVE-2016-0736
- mod_auth_digest におけるサービス運用妨害 (DoS) の脆弱性 - CVE-2016-2161
- "httpoxy" の脆弱性 - CVE-2016-5387
- mod_http2 におけるサービス運用妨害 (DoS) の脆弱性 - CVE-2016-8740
- HTTP リクエスト解析処理における脆弱性 - CVE-2016-8743
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 情報漏えい - CVE-2016-0736
- 情報漏えいや意図しない外部リソースへのアクセス - CVE-2016-5387
- サービス運用妨害 (DoS) - CVE-2016-2161, CVE-2016-8740
- リクエスト分割やキャッシュ汚染 - CVE-2016-8743
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、Apache HTTP Web Server 2.4.24 はリリースしなかったため、Apache HTTP Web Server 2.4 系の最新版は、バージョン 2.4.25 となったとのことです。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
BizMobile株式会社 | 該当製品無し | 2017/12/21 | |
ジェイティ エンジニアリング株式会社 | 該当製品無し | 2016/12/22 | |
日本電気株式会社 | 該当製品あり | 2023/06/30 |
ベンダ | リンク |
The Apache Software Foundation | Apache HTTP Server 2.4.25 Released |
Fixed in Apache httpd 2.4.25 |
-
Japan Vulnerability Note JVNVU#97133859
Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性 -
Japan Vulnerability Note JVNVU#91485132
CGI ウェブサーバがヘッダ Proxy の値を環境変数 HTTP_PROXY に設定する脆弱性
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2016-0736 |
CVE-2016-2161 |
|
CVE-2016-5387 |
|
CVE-2016-8740 |
|
CVE-2016-8743 |
|
JVN iPedia |
|
- 2016/12/22
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2017/02/01
- 日本電気株式会社のベンダステータスが更新されました
- 2017/12/21
- BizMobile株式会社のベンダステータスが更新されました
- 2018/06/27
- 日本電気株式会社のベンダステータスが更新されました
- 2018/11/06
- 日本電気株式会社のベンダステータスが更新されました
- 2019/10/28
- 日本電気株式会社のベンダステータスが更新されました
- 2023/07/03
- 日本電気株式会社のベンダステータスが更新されました