Apache HTTP Serverの脆弱性(Important: CVE-2024-27316, Moderate: CVE-2023-38709, low: CVE-2024-24795)と2.4.59リリース

04/05/2024にApache HTTP Serverの脆弱性情報(Important: CVE-2024-27316, Moderate: CVE-2023-38709, low: CVE-2024-24795)が公開され、修正版のApache HTTP Server 2.4.59がリリースされました。今回はこちらの脆弱性の概要と、各ディストリビューションの情報を纏めています。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2023-38709
    • CVSS
      • Base Score
        • Vendor: Moderate
        • Red Hat: 6.8 Moderate
      • Vector
        • Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
  • CVE-2024-24795
    • CVSS
      • Base Score
        • Vendor: Low
        • Red Hat: 6.8 Low
      • Vector
        • Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
  • CVE-2024-27316
    • CVSS
      • Base Score
        • Vendor: Moderate
        • Red Hat: 7.5 Important
      • Vector
        • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

    修正方法

    各ディストリビューションの情報を確認してください。

    CVE概要(詳細はCVEのサイトをご確認ください)

    • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38709
      • HTTP応答分割
      • 入力値検査の問題により、悪意のあるバックエンドのコンテンツジェネレータがHTTP応答を分割する可能性があります。
    • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24795
      • HTTP応答の複数モジュールへの分割
      • HTTP応答を複数のモジュールに分割することで、攻撃者が悪意のあるレスポンスヘッダーをバックエンドアプリケーションに挿入してHTTP非同期攻撃を引き起こすことが出来る可能性があります。
    • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27316
      • メモリ枯渇によるHTTP/2 DoS
      • 制限を超えるHTTP/2受信ヘッダーがHTTP413レスポンスを生成するためにnghttp2にバッファーされます。クライアントがヘッダーの送信を停止しないと、メモリ枯渇に繋がります。

    主なディストリビューションの対応方法

    詳細は、各ディストリビューションの提供元にご確認ください

    対処方法

    各ディストリビューションの案内に従い、アップデートを行ってください。

    [参考]

    タイトルとURLをコピーしました