JVNDB-2016-003438

JVNDB-2016-003438
Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題
概要
Apache HTTPD では、HTTP/2 に対応するモジュール mod_http2 が、バージョン 2.4.17 から提供されています。mod_http2 は実験的なものであり、デフォルトではコンパイルされず、また、設定ファイルの初期設定では HTTP/1.1 のみが有効になっています。 Apache HTTPD は、HTTP/2 経由でリソースへのアクセスを提供する際に、クライアント証明書の検証結果を考慮していません。なお、National Vulnerability Database (NVD) では、CWE-284 として公開されています。 CWE-284: Improper Access Control http://cwe.mitre.org/data/definitions/284.html
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 7.5 (重要) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 高可用性への影響(A): なし CVSS v2 による深刻度基本値: 5.0 (警告) [NVD値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし
影響を受けるシステム

Apache Software Foundation Apache HTTP Server バージョン 2.4.18 から 2.4.20 までオラクル Oracle Enterprise Manager 12.1.4 Oracle Enterprise Manager 12.2.2 Oracle Enterprise Manager 12.3.2 日本電気 WebOTX Application Server Enterprise V9.4 WebOTX Application Server Express V9.4 WebOTX Application Server Standard V9.4

想定される影響
認証を必要とするコンテンツに認証無しでアクセスされる可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに最新版にアップデートしてください。なお、開発者によると本問題はバージョン 2.4.23 で修正されているとのことです。
ベンダ情報
Apache Software Foundation Apache : Apache HTTP Server 2.4.23 Released Apache : Fixed in Apache httpd 2.4.23 Apache : Changes with Apache 2.4.23 GitHub : modssl: reset client-verify state when renegotiation is aborted Mailing list archives : CVE-2016-4979: HTTPD webserver - X509 Client certificate based authentication can be bypassed when HTTP/2 is used [vs] オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - October 2016 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices SECURITY BLOG : October 2016 Critical Patch Update Released 日本電気 NEC製品セキュリティ情報 : NV16-019
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2016-4979
参考情報
JVN : JVNVU#97485903 National Vulnerability Database (NVD) : CVE-2016-4979
更新履歴
[2016年07月07日] 掲載 [2016年08月03日] CVSS による深刻度：内容を更新概要：内容を更新影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：Apache Software Foundation (Fixed in Apache httpd 2.4.23) を追加ベンダ情報：Apache Software Foundation (modssl: reset client-verify state when renegotiation is aborted) を追加ベンダ情報：Apache Software Foundation (Changes with Apache 2.4.23) を追加参考情報：National Vulnerability Database (NVD) (CVE-2016-4979) を追加 CWE による脆弱性タイプ一覧：CWE-ID を追加 [2016年11月09日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日本電気 (NV16-019) を追加 [2016年11月22日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - October 2016) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - October 2016 Risk Matrices) を追加ベンダ情報：オラクル (October 2016 Critical Patch Update Released) を追加


公表日	2016/07/05
登録日	2016/07/07
最終更新日	2016/11/22

Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題