【活用ガイド】

JVNDB-2021-002868

Apache HTTP Server 2.4 における複数の脆弱性に対するアップデート

概要

The Apache Software Foundation から、Apache HTTP Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Server 2.4.50 が公開されました。

 * HTTP/2 リクエストの処理における、NULL ポインタ参照の脆弱性 - CVE-2021-41524
 * パスの正規化処理の欠陥による、パストラバーサルの脆弱性 - CVE-2021-41773
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache HTTP Server 2.4.49

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

 * サービス運用妨害 (DoS) - CVE-2021-41524
 * ドキュメントルート外に置かれた「require all denied」で保護されていないファイルにアクセスされる - CVE-2021-41773

対策

[アップデートする]
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

Apache Software Foundation 日本電気
  • NEC製品セキュリティ情報 : NV22-003
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-41524
  2. CVE-2021-41773
参考情報

  1. JVN : JVNVU#98852848
  2. National Vulnerability Database (NVD) : CVE-2021-41524
  3. National Vulnerability Database (NVD) : CVE-2021-41773
  4. IPA 重要なセキュリティ情報 : Apache HTTP Server の脆弱性対策について(CVE-2021-41773)
  5. JPCERT 注意喚起 : JPCERT-AT-2021-0043
更新履歴

  • [2021年10月07日]
      掲載
  • [2022年01月27日]
      ベンダ情報:日本電気 (NV22-003) を追加

公表日2021/10/06
登録日2021/10/07
最終更新日2022/01/27