Apache HTTP Serverの脆弱性(Important:CVE-2024-40725, CVE-2024-40898)と2.4.62リリース

07/18/2024にApache HTTP Serverの脆弱性(Important:CVE-2024-40725, CVE-2024-40898)とApache HTTP Server 2.4.62が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

一次情報源

CVSS/プライオリティ

  • CVE-2024-40725
    • 影響するバージョン
      • 2.4.60-2.4.61
    • Priority
      • Vendor: Important
      • Red Hat:
    • CVSS Score / CVSS Vector
      • Red Hat:
  • CVE-2024-40898
    • 影響するバージョン
      • 2.4.60-2.4.61
    • Priority
      • Vendor: Important
      • Red Hat:
    • CVSS Score / CVSS Vector
      • NVD:

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40725
    • AddTypeによるソースコードの意図しない公開
    • Apache HTTP Server 2.4.61での修正が不完全で、AddTypeでのcontent-typeベースのハンドラー設定のいくつかが無視されていました。”AddType”と同様な設定では、ファイルが間接的に要求する幾つかの条件下で、ローカルコンテンツでのソースコードを公開してしまいます。例えば、PHPスクリプト等が翻訳されずにそのまま提供されてしまいます。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-40898
    • SSRFの脆弱性
    • WindowsのバージョンのApache HTTP Server でserver/vhostコンテキスト中でmod_rewiteを使用している際にServer Side Request Forgery:SSRF脆弱性が見つかりました。これにより悪意のあるサーバがSSRFを通じてNTLMハッシュをリークさせることができる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました