JPCERT-AT-2021-0043
JPCERT/CC
2021-10-06(新規)
2021-10-08(更新)
The Apache Software Foundation
important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50
The Apache Software Foundationは、本脆弱性を悪用する攻撃を確認していると明らかにしており、JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに複数公開されている状況を確認しています。
影響を受けるApache HTTP Serverのバージョン2.4.49を使用している場合、The Apache Software Foundationが公開している情報を確認し、速やかに対策を適用することを推奨します。
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
The Apache Software Foundation
Apache HTTP Server 2.4.50 Released
https://downloads.apache.org/httpd/Announcement2.4.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2021-10-08 「I. 概要」「II. 対象」「III. 対策」の追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-10-06(新規)
2021-10-08(更新)
I. 概要
Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性(CVE-2021-41773)があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。The Apache Software Foundation
important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50
The Apache Software Foundationは、本脆弱性を悪用する攻撃を確認していると明らかにしており、JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに複数公開されている状況を確認しています。
影響を受けるApache HTTP Serverのバージョン2.4.49を使用している場合、The Apache Software Foundationが公開している情報を確認し、速やかに対策を適用することを推奨します。
更新: 2021年10月8日追記
2021年10月7日(米国時間)、The Apache Software Foundationは、本脆弱性の修正として提供したバージョン2.4.50に、別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明したことを発表し、本脆弱性を修正するバージョン2.4.51をリリースしました。
脆弱性が悪用されると、遠隔の第三者が、アクセスが適切に制限されていないドキュメントルート外のファイルを読み取る可能性があります。また、CGIスクリプトにアクセス可能な場合、任意のコードを実行する可能性があります。
The Apache Software Foundation
critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51
JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに公開されている状況を確認しています。
影響を受けるApache HTTP Serverのバージョン2.4.49あるいは2.4.50を使用している場合、速やかに対策を適用することを推奨します。
脆弱性が悪用されると、遠隔の第三者が、アクセスが適切に制限されていないドキュメントルート外のファイルを読み取る可能性があります。また、CGIスクリプトにアクセス可能な場合、任意のコードを実行する可能性があります。
The Apache Software Foundation
critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51
JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに公開されている状況を確認しています。
影響を受けるApache HTTP Serverのバージョン2.4.49あるいは2.4.50を使用している場合、速やかに対策を適用することを推奨します。
II. 対象
次のバージョンのApache HTTP Serverが本脆弱性の影響を受けます。- Apache HTTP Server 2.4.49
更新: 2021年10月8日追記
別のパストラバーサルの脆弱性(CVE-2021-42013)の影響を受けるのは、次のバージョンのApache HTTP Serverです。
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
- Apache HTTP Server 2.4.49
- Apache HTTP Server 2.4.50
III. 対策
The Apache Software Foundationから本脆弱性を修正する次のバージョンが公開されています。速やかに対策の実施をご検討ください。- Apache HTTP Server 2.4.50
更新: 2021年10月8日追記
別のパストラバーサルの脆弱性(CVE-2021-42013)を修正する次のバージョンが公開されています。
- Apache HTTP Server 2.4.51
- Apache HTTP Server 2.4.51
IV. 参考情報
The Apache Software Foundation
Apache HTTP Server 2.4.50 Released
https://downloads.apache.org/httpd/Announcement2.4.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2021-10-06 初版2021-10-08 「I. 概要」「II. 対象」「III. 対策」の追記
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp