Apache Software Foundation(ASF)は、広く使われているウェブサーバー「Apache HTTP Server」で見つかった深刻な脆弱性に対処するためのアップデートを公開している。この脆弱性により、攻撃者がリモートからシステムを乗っ取ることができる恐れがあるという。
ASFは「Apache HTTP Server 2.4.52」をリリースし、2つの脆弱性「CVE-2021-44790」「CVE-2021-44224」を修正している。これらはCVSSスコアが、それぞれ9.8(緊急)、8.2(重要)となっている。
CVE-2021-44790はバッファオーバーフローを引き起こす恐れがあり、Apache HTTP Server 2.4.51以前のバージョンに影響する。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「攻撃者がリモートから、影響を受けたシステムを制御できるようになる恐れがある」と警告した。CVE-2021-44224は、Apache HTTP Server 2.4.7〜2.4.51に影響し、サーバーサイドリクエストフォージェリ(SSRF)攻撃が可能になる恐れがある。
W3Techsによると、Apache HTTP Serverは「Nginx」に次いで、インターネットで2番目に広く使用されているウェブサーバーだ。世界のウェブサイトの31.4%がApacheを使用しているという。また、英国のセキュリティ企業Netcraftは、2021年12月にApache HTTP Serverを使用したウェブサイトは2億8300万で、全ウェブサーバーの約24%を占めると推定している。
これらのバグはまだ攻撃に悪用されていないとみられるものの、Apache httpdチームは細工される可能性があるとしている。
Apache HTTP ServerプロジェクトメンバーのStefan Eissing氏は、メーリングリストで、巧妙に細工されたリクエストボディが、「mod_lua Multipart Parser」においてバッファオーバーフローを引き起こす可能性があると説明している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。