公開日:2016/12/21 最終更新日:2023/07/03

JVNVU#99304449
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における複数の脆弱性に対応した Apache HTTP Web Server 2.4.25 が公開されました。

影響を受けるシステム

  • Apache HTTP Web Server 2.4.25 より前のバージョン

詳細情報

The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.25 が公開されました。

  • mod_session_crypto における Padding Oracle 攻撃が可能になる脆弱性 - CVE-2016-0736
  • mod_auth_digest におけるサービス運用妨害 (DoS) の脆弱性 - CVE-2016-2161
  • "httpoxy" の脆弱性 - CVE-2016-5387
  • mod_http2 におけるサービス運用妨害 (DoS) の脆弱性 - CVE-2016-8740
  • HTTP リクエスト解析処理における脆弱性 - CVE-2016-8743
詳しくは、開発者が提供する情報をご確認ください。

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 情報漏えい - CVE-2016-0736
  • 情報漏えいや意図しない外部リソースへのアクセス - CVE-2016-5387
  • サービス運用妨害 (DoS) - CVE-2016-2161, CVE-2016-8740
  • リクエスト分割やキャッシュ汚染 - CVE-2016-8743

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、Apache HTTP Web Server 2.4.24 はリリースしなかったため、Apache HTTP Web Server 2.4 系の最新版は、バージョン 2.4.25 となったとのことです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/12/21
ジェイティ エンジニアリング株式会社 該当製品無し 2016/12/22
日本電気株式会社 該当製品あり 2023/06/30
ベンダ リンク
The Apache Software Foundation Apache HTTP Server 2.4.25 Released
Fixed in Apache httpd 2.4.25

参考情報

  1. Japan Vulnerability Note JVNVU#97133859
    Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
  2. Japan Vulnerability Note JVNVU#91485132
    CGI ウェブサーバがヘッダ Proxy の値を環境変数 HTTP_PROXY に設定する脆弱性

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-0736
CVE-2016-2161
CVE-2016-5387
CVE-2016-8740
CVE-2016-8743
JVN iPedia

更新履歴

2016/12/22
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2017/02/01
日本電気株式会社のベンダステータスが更新されました
2017/12/21
BizMobile株式会社のベンダステータスが更新されました
2018/06/27
日本電気株式会社のベンダステータスが更新されました
2018/11/06
日本電気株式会社のベンダステータスが更新されました
2019/10/28
日本電気株式会社のベンダステータスが更新されました
2023/07/03
日本電気株式会社のベンダステータスが更新されました