JVNDB-2020-007476
|
Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート
|
|
The Apache Software Foundation から、Apache HTTP Web Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Web Server 2.4.46 が公開されました。
* Cache-Digest の値を細工された HTTP/2 リクエストを処理することで Push Diary がクラッシュする脆弱性 - CVE-2020-9490
* mod_proxy_uwsgi にバッファオーバーフローの脆弱性 - CVE-2020-11984
* mod_remoteip および mod_rewrite を用いる特定の設定を行って動作させている場合に、ログや PHP スクリプトで参照される IP アドレスが偽装可能な脆弱性 - CVE-2020-11985
* HTTP/2 モジュールで trace/debug が有効な場合、特定の通信に対してログを処理する際にメモリプールに競合が生じる脆弱性 - CVE-2020-11993
なお開発者によると、CVE-2020-11985 は Apache HTTP Web Server 2.4.24 で修正されましたが、今回あらためて CVE を割り当てたとのことです。
詳しくは、開発者が提供する情報をご確認ください。
|
|
|
|
|
Apache Software Foundation
- Apache HTTP Server 2.4.20 から 2.4.43 - CVE-2020-9490、CVE-2020-11993
- Apache HTTP Server 2.4.32 から 2.4.43 - CVE-2020-11984
- Apache HTTP Server 2.4.1 から 2.4.23 - CVE-2020-11985
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* サービス運用妨害 (DoS) - CVE-2020-9490、CVE-2020-11993
* 任意のコード実行 - CVE-2020-11984
* 情報漏えい - CVE-2020-11985
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
|
|
Apache Software Foundation
日本電気
|
|
|
|
- CVE-2020-9490
- CVE-2020-11984
- CVE-2020-11985
- CVE-2020-11993
|
|
- JVN : JVNVU#92184689
- National Vulnerability Database (NVD) : CVE-2020-9490
- National Vulnerability Database (NVD) : CVE-2020-11984
- National Vulnerability Database (NVD) : CVE-2020-11985
- National Vulnerability Database (NVD) : CVE-2020-11993
|
|
- [2020年08月14日]
掲載
- [2021年08月10日]
ベンダ情報:日本電気 (Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート) を追加
|
