Apache HTTP Serverの脆弱性情報(Important: CVE-2023-25690, Moderate: CVE-2023-27522)と、Apache HTTP Server 2.4.56のリリース

03/07/2023にApache HTTP Serverの脆弱性情報(Important: CVE-2023-25690, Moderate: CVE-2023-27522)が公開され、修正版のApache HTTP Server 2.4.56がリリースされました。今回はこちらの脆弱性の概要と、各ディストリビューションの情報を纏めています。

[過去関連リンク(最新5件)]

• Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)
• Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース
• Apache HTTP Serverの脆弱性情報(Important: CVE-2022-22720, CVE-2022-23943, Moderate: CVE-2022-22719, Low: CVE-2022-22721)と修正版(2.4.53)リリース
• Apache HTTP Serverの脆弱性情報(Moderate: CVE-2021-44224, High: CVE-2021-44790)と新バージョン（2.4.52）

一次情報源

https://httpd.apache.org/security/vulnerabilities_24.html

CVSS/プライオリティ

• CVE-2023-25690
  • 影響するバージョン
    • Apache HTTP Server <= 2.4.55
  • 一時情報源
    • https://httpd.apache.org/security/vulnerabilities_24.html
  • Priority
    • Vendor: Important
    • Red Hat: 5.3 Moderate
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

• CVE-2023-27522
  • 影響するバージョン
    • Apache HTTP Server <= 2.4.55
  • 一時情報源
    • https://httpd.apache.org/security/vulnerabilities_24.html
  • Priority
    • Vendor: Moderate
    • Red Hat: 5.3 Moderate
  • CVSS Score / CVSS Vector
    • Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-25690
  • mod_rewriteとmod_proxyによるHTTPリクエスト分割
  • 特定のmod_proxy設定によりHTTPリクエストスマグリング攻撃が許可されてしまいます。mod_proxyがRewriteRule又はProxyPassMatchの形でユーザが提供してきたURLデータの位置を特定するためのパターンマッチが示しておらず、プロキシされたリクエストーターゲットで代わりにに使用する変数を新たに挿入する様になっている際に設定が影響します。例えば
  • RewriteRule "^/here/(.*)" "http://example.com:8080/elsewhere?$1"; [P] ProxyPassReverse /here/ http://example.com:8080/
  • この際にリクエスト分割／スマッグリングによりプロキシサーバのアクセス制御をバイパスすることが出来、意図しないURLがオリジンサーバーにプロキシされ、キャッシュポイズニングが発生する可能性があります。
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27522
  • mod_proxy_uwsgiによるHTTPリクエスト分割
  • Apache HTTP サーバのmod_proxy_uwsgiにを介したHTTP応答スマグリングの脆弱性が見つかりました。元の応答ヘッダーの特殊文字により、クライアントに転送される応答を切り詰めたり分割したりする事が出来る可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2023-25690
  • https://security-tracker.debian.org/tracker/CVE-2023-27522
• Red Hat Enterprise Linux/CentOS
  • https://access.redhat.com/security/cve/CVE-2023-25690
  • https://access.redhat.com/security/cve/CVE-2023-27522
• Ubuntu
  • https://ubuntu.com/security/CVE-2023-25690
  • https://ubuntu.com/security/CVE-2023-27522
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2023-25690.html
  • https://www.suse.com/security/cve/CVE-2023-27522.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]

• Apache HTTP Server 2.4 vulnerabilities