07/18/2024にApache HTTP Serverの脆弱性(Important:CVE-2024-40725, CVE-2024-40898)とApache HTTP Server 2.4.62が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。
[過去関連リンク(最新5件)]
- Apache HTTP Serverの脆弱性(Important:CVE-2024-39884)とApache HTTP Server 2.4.61の公開
- Apache HTTP Serverの脆弱性(Important:CVE-2024-38472, CVE-2024-38474, CVE-2024-38475, CVE-2024-38476, CVE-2024-38477, Moderate: CVE-2024-38473, CVE-2024-39573, Low: CVE-2024-36387)
- Apache HTTP Serverの脆弱性情報(Important: CVE-2023-25690, Moderate: CVE-2023-27522)と、Apache HTTP Server 2.4.56のリリース
- Apache HTTP Serverの脆弱性情報(Moderate: CVE-2006-20001, CVE-2022-36760, CVE-2022-37436)
- Apache HTTP Serverの脆弱性情報(Moderate: CVE-2022-26377, Low: CVE-2022-28330, CVE-2022-28614, CVE-2022-28615, CVE-2022-29404, CVE-2022-30522, CVE-2022-30556, CVE-2022-31813 )と2.4.54リリース
一次情報源
CVSS/プライオリティ
- CVE-2024-40725
- 影響するバージョン
- 2.4.60-2.4.61
- Priority
- Vendor: Important
- Red Hat:
- CVSS Score / CVSS Vector
- Red Hat:
- 影響するバージョン
- CVE-2024-40898
- 影響するバージョン
- 2.4.60-2.4.61
- Priority
- Vendor: Important
- Red Hat:
- CVSS Score / CVSS Vector
- NVD:
- 影響するバージョン
修正方法
各ディストリビューションの情報を確認してください。
CVE概要(詳細はCVEのサイトをご確認ください)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40725
- AddTypeによるソースコードの意図しない公開
- Apache HTTP Server 2.4.61での修正が不完全で、AddTypeでのcontent-typeベースのハンドラー設定のいくつかが無視されていました。”AddType”と同様な設定では、ファイルが間接的に要求する幾つかの条件下で、ローカルコンテンツでのソースコードを公開してしまいます。例えば、PHPスクリプト等が翻訳されずにそのまま提供されてしまいます。
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40898
- SSRFの脆弱性
- WindowsのバージョンのApache HTTP Server でserver/vhostコンテキスト中でmod_rewiteを使用している際にServer Side Request Forgery:SSRF脆弱性が見つかりました。これにより悪意のあるサーバがSSRFを通じてNTLMハッシュをリークさせることができる可能性があります。
主なディストリビューションの対応方法
詳細は、各ディストリビューションの提供元にご確認ください
- Debian
- Red Hat Enterprise Linux/CentOS/Rocky Linux/Alma Linux
- Ubuntu
- SUSE/openSUSE
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
