Apache HTTP Server 2.4 で複数の脆弱性が公表されました。CVE-2019-10092、CVE-2019-10098、CVE-2019-10082、CVE-2019-10081、CVE-2019-9517、CVE-2019-10097

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Apache 2.4.41 が 2019年8月14日にリリースされ、複数の脆弱性に対しての修正が取り込まれています。各ベンダでの修正取り込み状況など記事執筆時点(8月20日)では公表されていないものが多いため、確認出来次第追記していきたいと思います。

以下の6つのCVEが発行、もしくは予約されています。

  • CVE-2019-10092: mod_proxy のエラーページにおいて限定的なクロスサイトスクリプティング – low
  • CVE-2019-10098: mod_rewrite で潜在的なオープンリダイレクト – low
  • CVE-2019-10082: mod_http2 で h2 接続切断時に read-after-free – moderate
  • CVE-2019-10081: mod_http2 で early pushes 時にメモリ破壊 – moderate
  • CVE-2019-9517: mod_http2 で h2 ワーカーを使い尽くす事による DoS 攻撃 – moderate
  • CVE-2019-1009: mod_remoteipでスタックオーバーフローと NULL ポインタ参照 – moderate

以下 Apache HTTP Server 2.4 の脆弱性情報から引用します。

CVE-2019-10092: mod_proxy のエラーページにおいて限定的なクロスサイトスクリプティング – low

mod_proxy のエラーページに影響を与える限定的なクロスサイトスクリプティング問題が報告されています。攻撃者は不正なエラーページへのリンクを通じて任意のページへと誘導することができます。

プロキシーが有効になっていてかつ、プロキシーエラーページが表示されるような誤った設定がされている場合に攻撃に利用されます。

影響のあるバージョン
2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

CVE-2019-10098: mod_rewrite で潜在的なオープンリダイレクト – low

mod_rewrite により自己参照するように設定されたリダイレクトに対して、エンコードされた改行とリダイレクトによってリクエストURL内の予期しない URL にリダイレクトされる場合があります。

影響のあるバージョン
2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.30, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18, 2.4.17, 2.4.16, 2.4.12, 2.4.10, 2.4.9, 2.4.7, 2.4.6, 2.4.4, 2.4.3, 2.4.2, 2.4.1, 2.4.0

CVE-2019-10082: mod_http2 で h2 接続切断時に read-after-free – moderate

不正なネットワークインプットを利用して、 http/2 のセッションハンドリングに接続切断時に解放後のメモリを読み出すようにさせることができます。

影響のあるバージョン
2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.32, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20, 2.4.18

CVE-2019-10081: mod_http2 で初期プッシュ時にメモリ破壊 – moderate

HTTP/2 で最初期のプッシュ、例えば “H2PushResource” で設定されている場合などにプッシングリクエストプール内のメモリを上書きすることでクラッシュを引き起こすことができます。クライアントから送信されたデータではなく、設定されたプッシュリンクヘッダの値がメモリにコピーされます。

影響のあるバージョン
2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.32, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20

CVE-2019-9517: mod_http2 で h2 ワーカーを使い尽くす事による DoS 攻撃 – moderate

悪意のあるクライアントが大量のリクエストを伴った接続を実施し、TCPコネクション上のレスポンスを基本的に決して読まないことによって DoS 攻撃を実施できます。h2 ワーカ数の設定によって、比較的少数のこのような攻撃を防ぐことができます。

影響のあるバージョン
2.4.39, 2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33, 2.4.32, 2.4.29, 2.4.28, 2.4.27, 2.4.26, 2.4.25, 2.4.23, 2.4.20

CVE-2019-1009: mod_remoteipでスタックオーバーフローと NULL ポインタ参照 – moderate

mod_remoteip が信用できる中間プロキシーサーバを ”プロキシー”プロトコルを利用するように設定されている場合、特別に作られた プロキシーヘッダによってスタックオーバーフローや NULL ポインタ参照を引き起こします。この脆弱性は信頼できない HTTP クライアントではなく、信頼できるプロキシによって引き起こされます。

影響のあるバージョン
2.4.38, 2.4.37, 2.4.35, 2.4.34, 2.4.33

取り急ぎここまで。また詳細等判明しましたら、更新したいと思います。