TOP

2017年11月23日 | テクノロジー

Google、GPSオフでもAndroidユーザーの位置情報を取得していたことが判明

2017年11月23日にGoogleが、Android端末のGPSをオフにしてもユーザーの位置情報を取得していたことがわかりました。 ...

2017年11月23日 | ゲーム

ポケモンGO、EXレイドを正式にリリース – レイドバトルの仕様変更も

2017年11月22日にNianticが、ポケモンGOにて「EXレイド」を正式にリリースしたことを発表致しました。   ...

2017年11月23日 | ゲーム

ポケモンGO、アップデートによりiPhone Xに対応へ

2017年11月21日にポケモンGOが、「iPhone X」の最適化とバグ修正などを施したアップデートを公開したことがわかりました。 ...

2017年11月22日 | テクノロジー

Amazon、容量無制限プラン「Unlimitedストレージプラン」を終了へ

2017年11月22日にAmazonが、容量無制限で利用できるオンラインストレージサービス「Amazon Drive」の「Unlimited...

2017年11月22日 | ゲーム

任天堂、スマホアプリ「どうぶつの森 ポケットキャンプ」を配信開始へ

2017年11月21日に任天堂が、どうぶつの森のスマートフォンアプリケーション「どうぶつの森 ポケットキャンプ」の配信を開始したことが明らか...

2017年11月22日 | テクノロジー / 自動車

Uber、2016年に5千万人の個人情報の流出を隠蔽していたことが発覚

2017年11月21日にライドシェアリングサービス「Uber」が、2016年に約5,700万人分の個人情報を流出していたことが明らかとなりま...

2017年11月21日 | テクノロジー

次期iPhone SEは、iPhone Xと同じデザイン!? – コンセプト動画

2017年11月20日にAppleの「iPhone SE」の後継機モデルが「iPhone X」と同じデザインを採用したコンセプト動画が公開さ...

2017年11月21日 | テクノロジー

Microsoft、Officeを観覧できるビューワーソフトを終了することを発表

2017年11月20日にMicrosoftが、WordやExcel、Power PointなどのOfficeを閲覧することが出来るビューワー...

2017年11月21日 | ゲーム

任天堂、スマホアプリ「どうぶつの森 ポケットキャンプ」を11月22日に配信開始へ

2017年11月19日に任天堂が、どうぶつの森のスマートフォンアプリケーション版である「どうぶつの森 ポケットキャンプ」を2017年11月2...

2017年11月20日 | テクノロジー

Apple、次期Macシリーズにて「Hey Siri」が利用可能へ

2017年11月20日にAppleが、次期MacシリーズにてiOSに搭載されている「Hey Siri」による音声操作が可能となることがわかり...

2017年6月21日

Apache HTTP Web Server、5件の脆弱性を確認 – 最新バージョンで修復済み

2017年6月19日に「Apache HTTP Web Server」に複数モジュールにおける5件の脆弱性があることを発表いたしました。

 

なお、脆弱性は最新バージョンにて、修復済みであるとのこと。

 

 

Apacheの脆弱性を確認

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「Apache HTTP Web Server」の複数モジュールにおけるサービス運用妨害(DoS)を含む5件の脆弱性を発表いたしました。

 

 

「Apache HTTP Web Server」は、世界で最も使用されているWebサーバーソフトとなっております。

 

 

その為、今回の脆弱性を狙った攻撃が実行される可能性は極めて高いと予測されます。

 

 

The Apache Software Foundationは、2017年6月29日に最新バージョン「Apache HTTP Web Server」v2.4.26を公開しております。

 

 

最新バージョンは、現行の安定バージョン「2.4.x」をベースとしており、CVE番号ベースの5件の脆弱性を修復しております。

 

 

5件の脆弱性

“JVN”の脆弱性レポート(JVNVU#98416507)による5件の脆弱性は、以下の通りとなる。

 

CVE-2017-3167

  • ap_get_basic_auth_pw()認証のバイパスの可能性
  • サードパーティモジュールによりap_get_basic_auth_pw()が実行されると認証がバイパス可能性有り

 

CVE-2017-3169

  • mod_sslのNULLポインタディリファレンスの可能性有り
  • HTTPSポートにHTTPリクエストが来た場合、サードパーティモジュールによりap_hook_proces_connection()を呼び出した際にNULLポインタディリファレンスの可能性有り

 

CVE-2017-7659

  • mod_http2のクラッシュの可能性有り
  • ver2.4.25で追加されたHTTPのstrictパースにバグを確認。悪意のある細工されたリクエストヘッダにより、クラッカーがhttpdにセグメンテーションフォールトを起こせる可能性有り

 

CVE-2017-7668

  • ap_find_token()のバッファ外読み込みの可能性有り
  • ver2.2.32およびver2.4.24で追加されたHTTPのstrictパースにバグを確認。悪意のある細工されたリクエストヘッダにより、クラッカーがhttpdにセグメンテーションフォールトを起こせる可能性有り

 

CVE-2017-7679

  • mod_mimeのバッファ外読み込みの可能性有り
  • 悪意のある細工されたContent-Typeレスポンスヘッダにより、mod_mineがバッファの帯から先の1倍とを読み出す可能性有り

 

 

なお、5件の脆弱性について詳しく知りたい方は、以下のリンクをご参照ください。

 

 

 

最新バージョンを公開

The Apache Software Foundationはすでに、Apache HTTP Web Server v2.4.26を公開している。

 

 

今回報告された5件の脆弱性は、旧バージョンであるver2.2.xにも該当します。

 

 

その為、早急に最新バージョンである「ver2.4.26」へアップデートすることが推奨されている。

 

 

なお、ver2.2.xには別途、修正パッチが公開されております。

 

 

ver2.2.x系列を利用している管理者および運営者は、早急にパッチを適応することを推奨されております。

[Apache HTTP SERVER PROJECT]

スポンサーリンク

あなたにおすすめの記事

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

こちらの記事もおすすめ

         

カテゴリ

タグ

参加してます


お気軽にお書きください

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)