t

【重要】Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

APACHE

平素より、弊社スカイアーチネットワークスのサービスをご利用頂きまして、誠に有難う御座います。

apacheにて脆弱性が報告されました。脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における複数の脆弱性に対応した Apache HTTP Web Server 2.4.46 が公開されました。

影響を受けるシステム

  • ・Apache HTTP Web Server 2.4.20 から 2.4.43 - CVE-2020-9490、CVE-2020-11993
  • ・Apache HTTP Web Server 2.4.32 から 2.4.43 - CVE-2020-11984
  • ・Apache HTTP Web Server 2.4.1 から 2.4.23 - CVE-2020-11985

詳細情報

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.46 が公開されました。

  • ・Cache-Digest の値を細工された HTTP/2 リクエストを処理することで Push Diary がクラッシュする脆弱性 - CVE-2020-9490
  • ・mod_proxy_uwsgi にバッファオーバーフローの脆弱性 - CVE-2020-11984
  • ・mod_remoteip および mod_rewrite を用いる特定の設定を行って動作させている場合に、ログや PHP スクリプトで参照される IP アドレスが偽装可能な脆弱性 - CVE-2020-11985
  • ・HTTP/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性 - CVE-2020-11993

  • なお開発者によると、CVE-2020-11985 は Apache HTTP Web Server 2.4.24 で修正されましたが、今回あらためて CVE を割り当てたとのことです。
    詳しくは、開発者が提供する情報をご確認ください。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ・サービス運用妨害 (DoS) - CVE-2020-9490、CVE-2020-11993
  • ・任意のコード実行 - CVE-2020-11984
  • ・情報漏えい - CVE-2020-11985

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

備考

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)