編集部からのお知らせ
新着の記事まとめ「Emotet」動向

「Apache HTTP Server 2.4.52」、脆弱性2件に対処

Liam Tung (ZDNet.com) 翻訳校正: 編集部

2021-12-24 11:09

 Apache Software Foundation(ASF)は、広く使われているウェブサーバー「Apache HTTP Server」で見つかった深刻な脆弱性に対処するためのアップデートを公開している。この脆弱性により、攻撃者がリモートからシステムを乗っ取ることができる恐れがあるという。

 ASFは「Apache HTTP Server 2.4.52」をリリースし、2つの脆弱性「CVE-2021-44790」「CVE-2021-44224」を修正している。これらはCVSSスコアが、それぞれ9.8(緊急)、8.2(重要)となっている。

 CVE-2021-44790はバッファオーバーフローを引き起こす恐れがあり、Apache HTTP Server 2.4.51以前のバージョンに影響する。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、「攻撃者がリモートから、影響を受けたシステムを制御できるようになる恐れがある」と警告した。CVE-2021-44224は、Apache HTTP Server 2.4.7〜2.4.51に影響し、サーバーサイドリクエストフォージェリ(SSRF)攻撃が可能になる恐れがある。

 W3Techsによると、Apache HTTP Serverは「Nginx」に次いで、インターネットで2番目に広く使用されているウェブサーバーだ。世界のウェブサイトの31.4%がApacheを使用しているという。また、英国のセキュリティ企業Netcraftは、2021年12月にApache HTTP Serverを使用したウェブサイトは2億8300万で、全ウェブサーバーの約24%を占めると推定している。

 これらのバグはまだ攻撃に悪用されていないとみられるものの、Apache httpdチームは細工される可能性があるとしている。

 Apache HTTP ServerプロジェクトメンバーのStefan Eissing氏は、メーリングリストで、巧妙に細工されたリクエストボディが、「mod_lua Multipart Parser」においてバッファオーバーフローを引き起こす可能性があると説明している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]