※追記すべき情報がある場合には、その都度このページを更新する予定です。
概要
Apache HTTP Server は、Apache Software Foundation がオープンソースソフトウェアとして提供しているウェブサーバ用のプログラムです。
この Apache HTTP Server において、遠隔の第三者がパス・トラバーサル攻撃を用いてドキュメントルート外のファイルにアクセスする可能性のある脆弱性が確認されています。
CVE-2021-41773 の脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、アップデートを実施して下さい。
---2021 年 10 月 7 日 更新---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。
---2021 年 10 月 8 日 更新---
バージョン 2.4.50 にて、修正が不十分であることが公表(CVE-2021-42013)され、こちらを修正したバージョン 2.4.51 がリリースされました。
製品開発者から提供されている情報を参照して、速やかにアップデートを実施してください。
影響を受けるシステム
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
※製品開発者によると、本脆弱性の影響を受けるのは上記のバージョンのみであり、それ以前のバージョンについては影響を受けないとのことです。
対策
脆弱性の解消 - アップデートを実施
製品開発者から提供されている情報を参照して、アップデートを実施してください。詳細は、下記リンクよりご確認ください。- Apache HTTP SERVER PROJECT
https://downloads.apache.org/httpd/Announcement2.4.html
参考情報
- Fixed in Apache HTTP Server 2.4.50
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50 - Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html - Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
http://jvn.jp/vu/JVNVU98852848/index.html - 「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測
https://www.security-next.com/130474 - Fixed in Apache HTTP Server 2.4.51
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51 - Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/index.html
---2021 年 10 月 7 日 更新---
---2021 年 10 月 8 日 更新---
本件に関するお問い合わせ先
IPA セキュリティセンター
E-mail:
更新履歴
2021年10月8日 | 修正不十分であることが公表され、新たなバージョンが公開されたため、内容を更新 |
---|---|
2021年10月7日 | 国内での攻撃が観測されたため、内容を更新 |
2021年10月6日 | 掲載 |