セキュリティエンジニアが気になったニュースまとめ 2021/10/4~10/10
最近話題になったセキュリティ関連のニュースから、今回は複数の脆弱性が報告されたWebサーバソフトウェア「Apache HTTP Server」に関する記事を紹介します。
2021/10/06
Fixed in Apache HTTP Server 2.4.50
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50
Webサーバソフトウェア「Apache HTTP Server」のバージョン「2.4.49」において、以下の脆弱性を修正したバージョン「2.4.50」が公開されました。
CVE-2021-41524 - HTTP/2リクエストの処理における、NULLポインタ参照の脆弱性
CVE-2021-41773 - パスの正規化処理の欠陥による、パストラバーサルの脆弱性
CVE-2021-41524」は、「HTTP/2」の処理において細工したリクエストによりサービス拒否に陥るおそれがある脆弱性で、「CVE-2021-41773」は、ドキュメントルート外のファイルにおいて、明示的にアクセス拒否を設定していないファイルを参照されることによる情報漏洩が懸念されるとのこと。
・関連記事
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU98852848/index.html
「Apache HTTPD」がアップデート – 一部脆弱性はすでに悪用済み
https://www.security-next.com/130424
「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測
https://www.security-next.com/130474
実際にBad Packetsでは、カナダやドイツ、インド、ルクセンブルグ、オランダ、シンガポール、イギリス、米国などを発信元として、脆弱なサーバを探索する大量のアクセスがあったことを明らかにした。
クラウド型ウェブアプリケーションファイアウォール(WAF)を運用するセキュアスカイ・テクノロジーにおいても、日本時間10月6日午前中の時点で100サイトにおいて120件以上の攻撃を観測しているという
既に実証コードも複数公開されており、本脆弱性を悪用されているとの報告もあります。
2021/10/08
Fixed in Apache HTTP Server 2.4.51
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51
6日に公開された「Apache HTTP Server」の脆弱性について続報がありました。
バージョン「2.4.50」で修正された「CVE-2021-41773」の修正方法が不十分であるため、修正版であるバージョン「2.4.51」がリリースされました。
・関連記事
Apache HTTP Server 2.4.51 Released
https://downloads.apache.org/httpd/Announcement2.4.html
更新:Apache HTTP Server の脆弱性対策について(CVE-2021-41773, CVE-2021-42013)
https://www.ipa.go.jp/security/ciadr/vul/alert20211006.html
独自コードで検証、「Apache HTTPD」の修正不備を発見
https://www.security-next.com/130567
わずか3日、「Apache HTTPD」が再修正 – 前回修正は不十分、RCEのおそれも
https://www.security-next.com/130520
現地時間10月4日に公開された「同2.4.50」において、パストラバーサルの脆弱性「CVE-2021-41773」に対する修正が不十分だったとして再度更新を行ったもの。リモートよりコードを実行されるおそれもあり、CVE番号「CVE-2021-42013」があらたに採番されている。
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/index.html
JVNでは、「JPCERT/CCによる脆弱性分析結果」として、「CVSS v3」のスコアが「7.5」、「CVSS v2」のスコアが「5.0」と評価されており、深刻度は上から2つ目の「重要」と高くなっていることが確認できます。
・参考情報
共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/CVSSv3.html
まとめ
先週発生した「Apache HTTP Server」における一連の出来事をまとめました。
以下のバージョンを利用している場合は、開発元が公開している情報をもとに、10月13日時点での最新版となるバージョン「2.4.51」にアップデートすることをお勧めします。
・影響を受けるバージョン
Apache HTTP Server 2.4.49
Apache HTTP Server 2.4.50
担当:KK