Apache HTTP Serverの脆弱性(Important:CVE-2024-39884)とApache HTTP Server 2.4.61の公開

07/03/2024にApache HTTP Serverの脆弱性(Important:CVE-2024-39884)とApache HTTP Server 2.4.61が公開されました。2.4.60 coreでレグレッションがあった為で、2.4.60は見送ってこちらのバージョンに上げることをお勧めします。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

• Apache HTTP Serverの脆弱性(Important:CVE-2024-38472, CVE-2024-38474, CVE-2024-38475, CVE-2024-38476, CVE-2024-38477, Moderate: CVE-2024-38473, CVE-2024-39573, Low: CVE-2024-36387)
• Apache HTTP Serverの脆弱性情報(Important: CVE-2023-25690, Moderate: CVE-2023-27522)と、Apache HTTP Server 2.4.56のリリース
• Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)
• Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース

一次情報源

• https://httpd.apache.org/security/vulnerabilities_24.html

CVSS/プライオリティ

• CVE-2024-39884
  • 影響するバージョン
    • 2.4.60
  • Priority
    • NVD:
    • Red Hat:
  • CVSS Score / CVSS Vector
    • NVD:
    • Red Hat:

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-39884
  • AddType等のレグレッションによるソースコード公開の問題
  • Apache HTTP Server 2.4.60 coreで、AddType等いくつかのcontent-typeベースのハンドラー設定を無視していたというレグレッションがありました。”AddType”と同様な設定では、ファイルが間接的に要求する幾つかの条件下で、ローカルコンテンツでのソースコードを公開してしまいます。例えば、PHPスクリプト等が翻訳されずにそのまま提供されてしまいます。 この問題を修正するために、2.4.61に更新することを推奨します。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

• Debian
  • https://security-tracker.debian.org/tracker/CVE-2024-39884
• Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
  • https://access.redhat.com/security/cve/CVE-2024-39884
• Ubuntu
  • https://ubuntu.com/security/CVE-2024-39884
• SUSE/openSUSE
  • https://www.suse.com/security/cve/CVE-2024-39884.html

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

• https://httpd.apache.org/security/vulnerabilities_24.html