Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

06/08/2022にApache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )が公開され、修正版のApache HTTP Server 2.4.54がリリースされました。今回はこちらの脆弱性の概要と、各ディストリビューションの情報を纏めています。

[過去の関連リンク(最新5件)]

Apache HTTP Serverの脆弱性情報(Important: CVE-2022-22720, CVE-2022-23943, Moderate: CVE-2022-22719, Low: CVE-2022-22721)と修正版(2.4.53)リリース

Apache HTTP Serverの脆弱性情報(Moderate: CVE-2021-44224, High: CVE-2021-44790)と新バージョン（2.4.52）

Apache HTTP Serverの脆弱性情報(Critical: CVE-2021-42013, Important: CVE-2021-41773, Moderate: CVE-2021-41524) (PoCつき)と新バージョン(2.4.51)

一次情報源

https://httpd.apache.org/security/vulnerabilities_24.html

Priority

CVE番号	影響するバージョン	Priority
CVE-2022-26377	Apache HTTP Server <= 2.4.53	Vendor: Moderate
CVE-2022-28330	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-28614	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-28615	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-29404	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-30522	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-30556	Apache HTTP Server <= 2.4.53	Vendor: Low
CVE-2022-31813	Apache HTTP Server <= 2.4.53	Vendor: Low

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26377
- mod_proxy_ajpでのsmugglingリクエストの可能性
- Apache HTTP Serverのmod_proxy_ajpにHTTP Request Smugglingの脆弱性が見つかりました。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28330
- mod_isapiでの境界外読み込みの可能性
- Windows上での2.4.53以前のバージョンのApache HTTP サーバでは、mod_isapiモジュールでリクエストを処理するように設定された場合、境界外読み込みが発生する可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28614
- ap_rwrite()での境界外読み込みの可能性
- 2.4.53までのApache HTTP Serverでは、攻撃者がサーバに対してmod_luas r:puts()関数などと共にap_rwrite()又はap_rputs()を用いて大きな入力を反映させた場合、境界外読み込みを発生する可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-28615
- ap_strcmp_match()での境界外読み込みの可能性
- 2.4.53までのApache HTTP Serverでは、非常に大きな入力バッファーが提供されている場合、ap_strcmp_match()の範囲を超えた読み取りが原因で、クラッシュや情報の漏洩が発生する可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-29404
- mod_lua r:parsebodyでのDoS
- 2.4.53までのApache HTTP Serverでは、luaスクリプトへの悪意のあるリクエストが原因でr_parsebody(0)をコールすることになりDoSが発生する可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30522
- mod_sedのDoS
- 2.4.53までのApache HTTP Serverでは、mod_sedへの入力が非常に大きいコンテキストでmod_sedを使用する場合、鹿野田メモリ割当を行ってしまいabortする可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-30556
- mod_luaとwebsocketによる情報漏えい
- 2.4.53までのApache HTTP Serverでは、バッファに割り当てられたストレージの終わりを超えるr:wsread()を呼び出すアプリケーションに長さが返される可能性があります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31813
- hop-by-hopメカニズムによるmod_proxyのX-Forwarded-Forの欠落
- 2.4.53までのApache HTTP Serverでは、クライアント側の接続ヘッダーのhop-by-hopメカニズムに基づいて、X-Forwarded-*ヘッダーをオリジンサーバーに送信しない場合があります。これによりIPベースの認証をバイパスされる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

Apache HTTP Server 2.4 vulnerabilities

日々のメモを更新しています。

セキュリティ関係ニュースを更新しています。個別で情報出せるようになる前の簡単な情報・リンクなんかも載せていきます。

セミナー情報1

2022/06/24にこちらのセミナーで「最近の状況を鑑みた脆弱性対策の重要性について」として2022-Q1の脆弱性の情報を入れながら、脆弱性対策についてお話します。ご興味がありましたらぜひご参加下さい。