編集部からのお知らせ
令和時代のCIOとは?
「ニューノーマルとIT」新着記事一覧

Apacheウェブサーバに脆弱性、パッチが公開--共有ホスト環境の管理者権限奪取を誘発

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部

2019-04-04 10:43

 The Apache Software Foundationは米国時間4月1日、Apache(httpd)ウェブサーバに存在する深刻な脆弱性(「CVE-2019-0211」)に対するパッチを公開した。同脆弱性は特定の状況下において、悪意あるサーバスクリプトの管理者(root)権限での実行を許してしまうことで、そのサーバの乗っ取りを可能にするというものだ。

 同脆弱性はUNIXシステム向けのApacheウェブサーバ(バージョン2.4.17から2.4.38)のみに影響を与えるものであり、同日にリリースされたバージョン2.4.39によってフィックスされている。

 Apacheチームによると、同脆弱性を悪用することで、低い権限で実行されるはずのApacheの子プロセス(CGIスクリプトなど)において、親プロセスの権限で悪意あるコードを実行できるようになるという。

 Apache httpdはたいていのUNIXシステムにおいて管理者権限で実行されるため、脅威アクターは悪意のあるCGIスクリプトをApacheサーバ上に仕込むことで同脆弱性を突き、Apache httpdプロセスが稼働しているそのシステムを乗っ取り、本質的にマシン全体の制御を手にできるようになる。

 同脆弱性は、開発者自身や企業独自でサーバインフラを稼働させている場合、ただちに影響をもたらす明確な脅威ではないかもしれないが、共有ウェブホスティング環境においては深刻な問題を引き起こす。

 同脆弱性を発見したセキュリティリサーチャーのCharles Fol氏は米ZDNetとの2日のインタビューで、「最初に述べておきたいが、これはローカル(エクスプロイトに利用できる)脆弱性、つまりサーバに何らかのかたちでアクセスできる必要のある脆弱性だ」と述べた。

 要するに攻撃者は、共有ホスティングサービスのプロバイダーにアカウントを登録しているか、第三者の既存アカウントを手に入れている必要がある。

 この条件が満たされている場合、攻撃者は賃借/窃取したサーバアカウントを用いて、コントロールパネルから悪意のあるCGIスクリプトをアップロードするだけで、当該サーバの制御を奪取し、マルウェアを埋め込んだり、同じサーバを使用している他の顧客が格納しているデータを盗み出せるようになる。

 Fol氏は、「ウェブホスティングサービスのプロバイダーは、『root』アカウントにより、当該サーバのフルアクセス権限を有している。ユーザーのいずれかが私の報告したこの脆弱性を悪用した場合、そのユーザーはプロバイダーとまったく同様の、サーバに対するフルアクセス権限を掌握することになる」と述べ、「これは他のクライアントの保有するすべてのファイル/データベースに対する読み込み/書き出し/削除が可能だということを意味している」と続けた。

 さらにFol氏は、「CVE-2019-0211という脆弱性が存在するだけで、その他のサーバセキュリティ問題も深刻度が増すことになる。しかもそれは共有ホスティング環境にあるApacheウェブサーバにとどまっていない」とも述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュアなテレワークでビジネスを継続する「緊急時対応チェックリスト」

  2. クラウドコンピューティング

    ゼロトラストネットワークアクセス(ZTNA)を今すぐ採用すべき理由

  3. ビジネスアプリケーション

    今からでも遅くない、在宅勤務への本格移行を可能にする環境整備のポイント

  4. クラウド基盤

    アプリ開発者とIT管理者、両者のニーズを両立させるプラットフォームとは?

  5. ビジネスアプリケーション

    テレワークに立ちはだかる「紙・ハンコ」の壁を経費精算のペーパーレス化からはじめて乗り越える

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]