TOP

2017年7月26日 | テクノロジー

LINEで出前!?「LINEデリマ」を発表 – 1万4000店舗が参入

2017年7月26日にLINEは、食べ物を注文できるデリバリーサービス「LINEデリマ」の提供を開始したことが明らかとなりました。 &...

2017年7月26日 | テクノロジー

Adobe、Flashの更新と配信を2020年に停止 – Flashの終了

現地時間2017年7月25日にAdobeが、Flashの更新(アップデート)と配信を2020年を持って停止することを発表いたしました。 ...

2017年7月26日 | ゲーム

ポケモンGO、フリーザーとファイヤーとサンダーの配信はいつまで? – 3匹の配信スケジュールが公開

2017年7月26日にポケモンGOにて配信されている伝説のポケモン「フリーザー」「ファイヤー」「サンダー」の配信スケジュールが明らかとなりま...

2017年7月26日 | テクノロジー

iPhone 8のベゼルは4mm? – 新たなレンダリング画像が公開

2017年7月25日にAppleから販売予定のプレミアムモデルである「iPhone 8」のベゼルの細さが「4mm」であることが明らかとなりま...

2017年7月25日 | テクノロジー

Apple、iPhone 7s/7s Plusは2017年販売で、iPhone 8は2018年販売か

2017年7月25日にAppleが、「iPhone 7s/7s Plus」を2017年中に販売し、「iPhone 8」を2018年に販売する...

2017年7月25日 | テクノロジー

Facebookもスマートスピーカーを開発中か – 15インチタッチパネルを搭載

2017年7月25日にFacebookは、15インチのタッチパネルを搭載した独自のスマートスピーカーを開発中であることが明らかとなりました。...

2017年7月25日 | テクノロジー

Apple、有機ELパネルを独自開発 – Samusungへの依存を減少?

2017年7月24日にAppleが、有機ELパネルを供給しているSamusungへの依存を減らすために、独自で有機ELパネルの開発を進めてい...

2017年7月24日 | テクノロジー

ドワンゴ、RSSリーダー「Live Dwango Reader」のサービス提供を終了 – 8月31日

2017年7月24日にドワンゴが、RSSリーダー「Libe Dwango Reader」の提供を2017年8月31日をもって終了することを発...

2017年7月24日 | テクノロジー

Apple、Siriとドウェイン・ジョンソン氏が共演したショートムービーを公開 – The Rock x Siri

2017年7月24日にAppleは、人気俳優ドウェイン・ジョンソン氏とAppleの音声アシスタント「Siri」が共演したショートムービー「T...

2017年7月24日 | テクノロジー

LINEで外資両替ができる「LINE Pay 外資両替」がサービスイン

2017年7月20日にLINEは、メッセンジャーアプリケーション「LINE」のおサイフケータイ機能「LINE Pay」を利用した「LINE ...

2017年7月23日 | テクノロジー

iOS 11ではマップアプリにAR機能が追加される

2017年7月22日にAppleから配信予定の「iOS 11」に搭載されるマップアプリに拡張現実(AR)機能が追加されることが明らかとなりま...

2017年7月23日 | ゲーム

ポケモンGO、伝説レイドに「ルギア」と「フリーザー」が登場したことが確認される

2017年7月23日にスマートフォンアプリケーション「ポケモンGO」にて、全世界で「伝説レイド」が開始され「ルギア」と「フリーザー」が登場し...

2017年7月23日 | ゲーム

ポケモンGO、シカゴのイベントで通信障害とサーバーエラー – 参加費を返金へ

2017年7月23日にNianticは、ポケモンGOの大規模イベントをシカゴで開催しましたが、通信障害とサーバーエラーのためイベントが行えな...

2017年7月22日 | ゲーム

ピゴサことポケモンサーチアプリ「P-GO SEARCH」が7月23日にサービスを終了へ – TPCi

2017年7月22日にポケモンGOのポケモンサーチアプリケーションとして有名なピゴサこと「P-GO SEARCH」が2017年7月23日をも...

2017年7月22日 | テクノロジー

Apple、iPhone 8とiPhone 7s/7s Plusを9月5日または6日に発表か

2017年7月22日にAppleが、2017年9月5日または、6日に「iPhone 8」と「iPhone 7s/7s Plus」を発表する事...

2017年7月22日 | テクノロジー

Google、新しいセキュリティーサービス「Google Play Protect」をサービスイン

現地時間2017年7月19日にGoogleが、新しいセキュリティーサービスとして「Google Play Protect(プロテクト)」の提...

2017年7月21日 | テクノロジー

Facebook、Project ARAのメンバーでモジュールディバイスを開発か

2017年7月21日にFacebookが、Googleが廃止したモジュール型スマートフォン「Project ARA」のようなモジュール型ディ...

2017年7月21日 | ゲーム

任天堂、「MINI NINTENDO64(ミニ ニンテンドー64)」を準備中か

2017年7月21日に任天堂が、「ミニスーパーファミコン」に続き「MINI NINTENDO64(ミニ ニンテンドー64)」を準備中であるこ...

2017年7月21日 | テクノロジー

Samusung、Galaxy Note 8(ギャラクシーノート8)を8月23日に発表か

2017年7月21日にSamusungから販売予定のスマートフォン「Galaxy Note 8」が2017年8月23日に発表されることが明ら...

2017年7月20日 | ゲーム

ポケモンGO、伝説のポケモンをゲットできるイベント「伝説レイド」を公式発表

2017年7月20日にNianticは、ポケモンGOにて伝説のポケモンをゲットすることができるイベント「伝説レイド」公式発表したことが明らか...

2017年6月21日

Apache HTTP Web Server、5件の脆弱性を確認 – 最新バージョンで修復済み

2017年6月19日に「Apache HTTP Web Server」に複数モジュールにおける5件の脆弱性があることを発表いたしました。

 

なお、脆弱性は最新バージョンにて、修復済みであるとのこと。

 

 

Apacheの脆弱性を確認

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「Apache HTTP Web Server」の複数モジュールにおけるサービス運用妨害(DoS)を含む5件の脆弱性を発表いたしました。

 

 

「Apache HTTP Web Server」は、世界で最も使用されているWebサーバーソフトとなっております。

 

 

その為、今回の脆弱性を狙った攻撃が実行される可能性は極めて高いと予測されます。

 

 

The Apache Software Foundationは、2017年6月29日に最新バージョン「Apache HTTP Web Server」v2.4.26を公開しております。

 

 

最新バージョンは、現行の安定バージョン「2.4.x」をベースとしており、CVE番号ベースの5件の脆弱性を修復しております。

 

 

5件の脆弱性

“JVN”の脆弱性レポート(JVNVU#98416507)による5件の脆弱性は、以下の通りとなる。

 

CVE-2017-3167

  • ap_get_basic_auth_pw()認証のバイパスの可能性
  • サードパーティモジュールによりap_get_basic_auth_pw()が実行されると認証がバイパス可能性有り

 

CVE-2017-3169

  • mod_sslのNULLポインタディリファレンスの可能性有り
  • HTTPSポートにHTTPリクエストが来た場合、サードパーティモジュールによりap_hook_proces_connection()を呼び出した際にNULLポインタディリファレンスの可能性有り

 

CVE-2017-7659

  • mod_http2のクラッシュの可能性有り
  • ver2.4.25で追加されたHTTPのstrictパースにバグを確認。悪意のある細工されたリクエストヘッダにより、クラッカーがhttpdにセグメンテーションフォールトを起こせる可能性有り

 

CVE-2017-7668

  • ap_find_token()のバッファ外読み込みの可能性有り
  • ver2.2.32およびver2.4.24で追加されたHTTPのstrictパースにバグを確認。悪意のある細工されたリクエストヘッダにより、クラッカーがhttpdにセグメンテーションフォールトを起こせる可能性有り

 

CVE-2017-7679

  • mod_mimeのバッファ外読み込みの可能性有り
  • 悪意のある細工されたContent-Typeレスポンスヘッダにより、mod_mineがバッファの帯から先の1倍とを読み出す可能性有り

 

 

なお、5件の脆弱性について詳しく知りたい方は、以下のリンクをご参照ください。

 

 

 

最新バージョンを公開

The Apache Software Foundationはすでに、Apache HTTP Web Server v2.4.26を公開している。

 

 

今回報告された5件の脆弱性は、旧バージョンであるver2.2.xにも該当します。

 

 

その為、早急に最新バージョンである「ver2.4.26」へアップデートすることが推奨されている。

 

 

なお、ver2.2.xには別途、修正パッチが公開されております。

 

 

ver2.2.x系列を利用している管理者および運営者は、早急にパッチを適応することを推奨されております。

[Apache HTTP SERVER PROJECT]

スポンサーリンク

あなたにおすすめの記事

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

こちらの記事もおすすめ

         

カテゴリ

タグ

参加してます


お気軽にお書きください

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)