こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。
08/07/2020にApache HTTP Serverの脆弱性情報(Important: CVE-2020-9490, Moderate: CVE-2020-11984, CVE-2020-11993, Low: CVE-2020-11985)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
2020/08/19 11:30更新:RedHat, SUSEの情報を更新しました。
2020/08/19 20:30更新:CVE-2020-11985の情報を追加しました。@kazematsu様、有難うございました。
[過去の関連リンク(最新5件)]
Apache HTTP Serverの脆弱性情報(Low: CVE-2020-1927, CVE-2020-1934)
Apache及びモジュールの複数の脆弱性(CVE-2019-1333, CVE-2019-8011)
Apache httpd に複数の脆弱性 ( CVE-2017-9788, CVE-2017-9789 ) — | サイオスOSS | サイオステクノロジー
Priority
| CVE番号 | 影響するバージョン | Priority | CVSS Score / CVSS Vector |
|---|---|---|---|
| CVE-2020-9490 | 2.4.43, 2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20 | Vendor: Important | Red Hat: CVSS 7.5 Important/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2020-11984 | 2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33 | Vendor: Moderate | Red Hat: CVSS 9.8 MEDIUM/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CVE-2020-11993 | 2.4.43, 2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20 | Vendor: Moderate | Red Hat: CVSS 7.5 MEDIUM/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| CVE-2020-11985 | 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1 | Vendor: low | Red Hat: CVSS 5.3 MEDIUM/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9490
- HTTP/2 PUSHによるクラッシュ
- ‘Cache-Digest’ヘッダに対して特別に細工された値を用いたHTTP/2リクエストにより、サーバがHTTP/2 PUSHをリソースに対して試みた際にクラッシュを発生させる事が出来ます。
“HTPush off”を設定することで、パッチの当たっていないサーバでも脆弱性を緩和することが出来ます。
- mod_proxy_uwsgiによる情報漏えいとリモートコード実行の可能性
- mod_proxy_uwsgiに問題があり、情報の漏洩とリモートコード実行の可能があります。
- メモリプールの同時使用
- HTTP/2モジュールでtrace/debugが有効になっている際に、特定のトラフィックパターンによりlogging statementが誤った接続を行い、メモリプールの同時使用につながります。
- mod_remoteipとmod_rewriteをProxyに使用した際のIPアドレススプーフィングの可能性
- 特定のmod_rewriteとmod_remoteipを用いてProxyとして使用した際に、攻撃者はPHPスクリプトとログのIPアドレスをなりすます事ができる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
https://security-tracker.debian.org/tracker/CVE-2020-9490
https://security-tracker.debian.org/tracker/CVE-2020-11984
- Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2020-9490
https://access.redhat.com/security/cve/CVE-2020-11984
- Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2020-9490.html
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2020-11984.html
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-11993.html
https://people.canonical.com/~ubuntu-security/cve/2020/CVE-2020-11985.html
- SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2020-9490.html
https://www.suse.com/security/cve/CVE-2020-11984.html
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。
セキュリティ系連載案内
- OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
- OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
- OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
- OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
- OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる?」が連載されています。
- OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter(BPF)入門」が連載されています。
セミナー情報1
コンピュータセキュリティシンポジウム(CSS)2020併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2020の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。
今年度はオンラインでの開催となります。奮ってのご投稿、お待ちしております。
