平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。
Apacheにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。
JVNVU#99602154
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
概要
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.53が公開されました。
影響を受けるシステム
- Apache HTTP Server 2.4.52およびそれ以前
詳細情報
The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.53が公開されました。
- mod_luaのr:parsebodyにおける、不適切な初期化の脆弱性 – CVE-2022-22719
- HTTP Request Smuggling攻撃が可能になる脆弱性 – CVE-2022-22720
- LimitXMLRequestBodyにて32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合(デフォルトは1MB)の整数オーバーフローまたはラップアラウンドの脆弱性 – CVE-2022-22721
- mod_sedにおける、整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性 – CVE-2022-23943
想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 攻撃者によって、細工されたリクエストを送信され、プロセスのクラッシュを引き起こされる – CVE-2022-22719
- 攻撃者によって、エラー発生時にインバウンド接続を閉じられないことを利用され、HTTP Request Smuggling攻撃をされる – CVE-2022-22720
- 攻撃者によって、整数オーバーフローを引き起こされ、領域外書き込みを行われる – CVE-2022-22721
- 攻撃者によって、ヒープメモリの上書きをされる – CVE-2022-23943
対策方法
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
備考
最終更新日 2022.03.18
