Apache HTTP Server Hit by Triple Vulnerabilities – Users Urged to Update
2024/04/04 SecurityOnline — 広く使用されている Apache HTTP Server に、3つの脆弱性が存在することを、セキュリティ研究者たちが発見した。それらの脆弱性 CVE-2023-38709/CVE-2024-27316/CVE-2024-24795 が開く攻撃のドアから、脅威アクターたちが入り込み、Web サイトのコンテンツ改ざんから、サービス拒否 (DoS) シナリオにいたるまでの、攻撃が仕掛けられる恐れがある。
脆弱性の詳細
CVE-2023-38709:HTTP レスポンス・スプリッティング:この脆弱性は、不適切な入力検証に起因する。この脆弱性の悪用に成功した攻撃者は、Apache サーバから返される HTTP レスポンスの中に、悪意のコードを埋め込むことが可能となる。この脆弱性が悪用されると、Web サイトのコンテンツの操作や、フィッシング・サイトへのリダイレク、そして、クロス・サイトス・クリプティング (XSS) 攻撃の展開などが引き起こされる可能性がある。
CVE-2024-27316:メモリ枯渇による HTTP/2 DoS:この脆弱性は、HTTP/2 ヘッダの不適切な扱いに関するものである。攻撃者が送信する過度に大きなヘッダにより、サーバのメモリを使い果たされ、 クラッシュが引き起こされ、Web サイトの可用性が損なわれる可能性がある。
CVE-2024-24795:複数のモジュールにおける HTTP レスポンス・スプリッティング:1つ目の脆弱性と同様に、この脆弱性の要因は、Apache の各種モジュールにまたがる HTTP レスポンス・スプリッティングである。この脆弱性の悪用に成功した攻撃者は、悪意のヘッダを注入し、サーバとブラウザー間の接続を、不安定にする可能性がある。
影響と推奨事項
Apache HTTP サーバは、Web インフラの要であり、世界中の何百万もの Web サイトを支えている。これらの脆弱性の悪用に成功した攻撃者により、機密データの窃取などが生じ、影響を受ける組織においては、深刻な混乱や風評被害が生じる可能性がある。
すでに Apache は、3つの脆弱性にパッチを適用した、バージョン 2.4.59 をリリースしている。ユーザーに対して推奨されるのは、可能な限り早急にアップグレードを行うことだ。
Apache HTTP サーバの脆弱性ですが、このブログで取り上げるのは久しぶりのことです。ただし、お隣のキュレーション・チームに聞いてみたところ、2023年にもポツポツとあったけど、それほど深刻なものは無かったとのことでした。よろしければ、Apache で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.