ニュース

「Apache HTTP Web Server」に複数の脆弱性、修正版をリリース

 「Apache HTTP Web Server」に複数の脆弱性が発見されたとして、脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

 脆弱性の影響はバージョンによって異なるが、Cache-Digestの値を細工されたHTTP/2リクエストを処理することでPush Diaryがクラッシュする脆弱性(CVE-2020-9490)のほか、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性(CVE-2020-11993)、mod_proxy_uwsgiにおけるバッファオーバーフローの脆弱性(CVE-2020-11984)、ログやPHPスクリプトで参照されるIPアドレスが偽装可能な脆弱性(CVE-2020-11985)が存在する。

 これらの脆弱性を悪用されることにより、任意のコード実行、情報漏えい、DoS攻撃などの被害を受ける恐れがある。

 影響を受けるバージョンは、CVE-2020-9490およびCVE-2020-11993が2.4.20~2.4.43、CVE-2020-11984が2.4.32~2.4.43、CVE-2020-11985が2.4.1~2.4.23。

 開発元のThe Apache Software Foundationでは、脆弱性を修正した「2.4.44」「2.4.46」をリリースしている。