04/05/2024にApache HTTP Serverの脆弱性情報(Important: CVE-2024-27316, Moderate: CVE-2023-38709, low: CVE-2024-24795)が公開され、修正版のApache HTTP Server 2.4.59がリリースされました。今回はこちらの脆弱性の概要と、各ディストリビューションの情報を纏めています。
[過去関連リンク(最新5件)]
- Apache HTTP Serverの脆弱性情報(Important: CVE-2023-25690, Moderate: CVE-2023-27522)と、Apache HTTP Server 2.4.56のリリース
- Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)
- Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース
- Apache HTTP Serverの脆弱性情報(Important: CVE-2022-22720, CVE-2022-23943, Moderate: CVE-2022-22719, Low: CVE-2022-22721)と修正版(2.4.53)リリース
- Apache HTTP Serverの脆弱性情報(Moderate: CVE-2021-44224, High: CVE-2021-44790)と新バージョン(2.4.52)
CVSS/プライオリティ
- CVE-2023-38709
- CVSS
- Base Score
- Vendor: Moderate
- Red Hat: 6.8 Moderate
- Vector
- Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
- Base Score
- CVSS
- CVE-2024-24795
- CVSS
- Base Score
- Vendor: Low
- Red Hat: 6.8 Low
- Vector
- Red Hat: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N
- Base Score
- CVSS
- CVE-2024-27316
- CVSS
- Base Score
- Vendor: Moderate
- Red Hat: 7.5 Important
- Vector
- Red Hat: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- Base Score
- CVSS
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38709
- HTTP応答分割
- 入力値検査の問題により、悪意のあるバックエンドのコンテンツジェネレータがHTTP応答を分割する可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24795
- HTTP応答の複数モジュールへの分割
- HTTP応答を複数のモジュールに分割することで、攻撃者が悪意のあるレスポンスヘッダーをバックエンドアプリケーションに挿入してHTTP非同期攻撃を引き起こすことが出来る可能性があります。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27316
- メモリ枯渇によるHTTP/2 DoS
- 制限を超えるHTTP/2受信ヘッダーがHTTP413レスポンスを生成するためにnghttp2にバッファーされます。クライアントがヘッダーの送信を停止しないと、メモリ枯渇に繋がります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
