Apache HTTP Server の脆弱性 CVE-2021-44790/CVE-2021-44224 が FIX

Apache addressed a couple of severe vulnerabilities in Apache HTTP Server

2021/12/27 SecurityAffairs — Apache Software Foundation (ASF) は、Apache HTTP Server 2.4.52 をリリースし、リモートコード実行攻撃につながる脆弱性 CVE-2021-44790/CVE-2021-44224 に対処した。CVE-2021-44790 は、Apache HTTP Server 2.4.51 以前の mod_lua でマルチパート・コンテンツを解析する際に生じる、バッファ・オーバーフローの脆弱性である。Apache HTTPD チームは、この脆弱性を悪用した攻撃が、ワイルドに発生しているとは認識していない。

ASF は、「慎重に作成されたリクエスト・ボディにより、mod_lua のマルチパート・パーサー で、つまり Lua スクリプトから呼び出される r:parsebody() で、バッファ・オーバーフローが発生する可能性がある」と、アドバイザリに記している。2つ目の脆弱性 CVE-2021-44224 は、Apache HTTP Server 2.4.51 以前のフォワード・プロキシ設定において、NULL 参照や SSRF を生じる可能性がある。

ASF アドバイザリは、「フォワード・プロキシとして設定された httpd (ProxyRequests on) に、細工された URI を送信することで、クラッシュ (NULL ポインタの非参照) が生じ、また、フォワード・プロキシとリバース・プロキシの宣言が混在する設定では、宣言された Unix ドメイン・ソケットのエンドポイントに、リクエストが誘導される (Server Side Request Forgery) 可能性がある」と述べている。

Apache HTTPD チームは、「この脆弱性を利用した攻撃方法については認識していないが、攻撃方法を作ることは可能かもしれない」と述べている。

US CISA は、ユーザーおよび管理者に対し、Apache のアナウンスを確認し、可能な限り早急に更新することを推奨している。CISA のアドバイザリには、「Apache Software Foundation が、Apache HTTP Server 2.4.52 をリリースした。このバージョンは、脆弱性 (CVE-2021-44790・CVE-2021-44224) に対応しており、そのうちの1つは、リモートの攻撃者によりシステムの制御を奪われる可能性がある」と記されている。

この 11月には、ドイツ連邦情報セキュリティ局 (BSI) と Cisco が、HTTP サーバーに存在する、別のサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2021-40438 について、脅威があると警告している。

Apache HTTP Server に関しては、10月に「Apache Web Server のゼロデイ脆弱性 CVE-2021-41773 はリモートコード実行」と、「Apache 2.4.51 がリリース:2.4.50 で改善されなかった攻撃ベクターを遮断」という記事があり、11月には「Apache HTTP Server の脆弱性 CVE-2021-40438:悪用の実績と Cisco 製品群への影響」がありました。なにかと忙しい Apache ですが、頑張って欲しいですね。

%d bloggers like this: