HOME情報セキュリティ更新:Apache HTTP Server の脆弱性対策について(CVE-2021-41773, CVE-2021-42013)

本文を印刷する

情報セキュリティ

更新:Apache HTTP Server の脆弱性対策について(CVE-2021-41773, CVE-2021-42013)

最終更新日:2021年10月8日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Apache HTTP Server は、Apache Software Foundation がオープンソースソフトウェアとして提供しているウェブサーバ用のプログラムです。

この Apache HTTP Server において、遠隔の第三者がパス・トラバーサル攻撃を用いてドキュメントルート外のファイルにアクセスする可能性のある脆弱性が確認されています。

CVE-2021-41773 の脆弱性を悪用した攻撃が確認されているとの情報があるため、至急、アップデートを実施して下さい。

---2021 年 10 月 7 日 更新---
本脆弱性を悪用したと思われる攻撃が国内で観測されたとの情報があります。今後被害が拡大するおそれがあるため、至急、対策を実施してください。

---2021 年 10 月 8 日 更新---
バージョン 2.4.50 にて、修正が不十分であることが公表(CVE-2021-42013)され、こちらを修正したバージョン 2.4.51 がリリースされました。
製品開発者から提供されている情報を参照して、速やかにアップデートを実施してください。

影響を受けるシステム

  • Apache HTTP Server 2.4.49
  • Apache HTTP Server 2.4.50

※製品開発者によると、本脆弱性の影響を受けるのは上記のバージョンのみであり、それ以前のバージョンについては影響を受けないとのことです。

対策

脆弱性の解消 - アップデートを実施

製品開発者から提供されている情報を参照して、アップデートを実施してください。詳細は、下記リンクよりご確認ください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2021年10月8日 修正不十分であることが公表され、新たなバージョンが公開されたため、内容を更新
2021年10月7日 国内での攻撃が観測されたため、内容を更新
2021年10月6日 掲載