-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0043
                                                             JPCERT/CC
                                                    2021-10-06（新規）
                                                    2021-10-08（更新）

                  <<< JPCERT/CC Alert 2021-10-06 >>>

Apache HTTP Serverのパストラバーサルの脆弱性（CVE-2021-41773）に関する注意喚起

           https://www.jpcert.or.jp/at/2021/at210043.html


I. 概要
Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性
（CVE-2021-41773）があります。結果として、遠隔の第三者が、細工したリク
エストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に
制限されていないドキュメントルート外のファイルを読み取るなどの可能性が
あります。

    The Apache Software Foundation
    important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
    https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50

The Apache Software Foundationは、本脆弱性を悪用する攻撃を確認している
と明らかにしており、JPCERT/CCは、本脆弱性を実証するとみられるコードが
すでに複数公開されている状況を確認しています。

影響を受けるApache HTTP Serverのバージョン2.4.49を使用している場合、
The Apache Software Foundationが公開している情報を確認し、速やかに対策
を適用することを推奨します。

** 更新: 2021年10月8日追記 *******************************************
2021年10月7日（米国時間）、The Apache Software Foundationは、本脆弱性
の修正として提供したバージョン2.4.50に、別のパストラバーサルの脆弱性
（CVE-2021-42013）があることが判明したことを発表し、本脆弱性を修正する
バージョン2.4.51をリリースしました。

脆弱性が悪用されると、遠隔の第三者が、アクセスが適切に制限されていない
ドキュメントルート外のファイルを読み取る可能性があります。また、CGIス
クリプトにアクセス可能な場合、任意のコードを実行する可能性があります。

    The Apache Software Foundation
    critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)
    https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51

JPCERT/CCは、本脆弱性を実証するとみられるコードがすでに公開されている
状況を確認しています。

影響を受けるApache HTTP Serverのバージョン2.4.49あるいは2.4.50を使用し
ている場合、速やかに対策を適用することを推奨します。
**********************************************************************


II. 対象
次のバージョンのApache HTTP Serverが本脆弱性の影響を受けます。

  - Apache HTTP Server 2.4.49

** 更新: 2021年10月8日追記 *******************************************
別のパストラバーサルの脆弱性（CVE-2021-42013）の影響を受けるのは、次の
バージョンのApache HTTP Serverです。

  - Apache HTTP Server 2.4.49
  - Apache HTTP Server 2.4.50
**********************************************************************


III. 対策
The Apache Software Foundationから本脆弱性を修正する次のバージョンが公
開されています。速やかに対策の実施をご検討ください。

  - Apache HTTP Server 2.4.50

** 更新: 2021年10月8日追記 *******************************************
別のパストラバーサルの脆弱性（CVE-2021-42013）を修正する次のバージョン
が公開されています。

  - Apache HTTP Server 2.4.51
**********************************************************************


IV. 参考情報
    The Apache Software Foundation
    Apache HTTP Server 2.4.50 Released
    https://downloads.apache.org/httpd/Announcement2.4.html


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-10-06 初版
2021-10-08 「I. 概要」「II. 対象」「III. 対策」の追記

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=FOmc
-----END PGP SIGNATURE-----