JVNDB-2021-004150

Apache HTTP Server におけるリモートユーザが選択したオリジンサーバにリクエストを転送される脆弱性

Apache HTTP Server には、mod_proxy に関する処理に不備があるため、リモートユーザが選択したオリジンサーバにリクエストを転送される脆弱性が存在します。

Apache Software Foundation

• Apache HTTP Server 2.4.48 およびそれ以前

Debian

• Debian GNU/Linux

F5 Networks

• F5OS

Fedora Project

• Fedora

NetApp

• StorageGRID
• Clustered Data ONTAP

日立

• Hitachi Configuration Manager
• Hitachi Device Manager
• Hitachi Infrastructure Analytics Advisor (海外販売のみ)
• Hitachi Ops Center Analyzer (海外販売のみ)
• Hitachi Ops Center API Configuration Manager

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

巧妙に細工されたリクエスト uri-path を介して、リモートユーザが選択したオリジンサーバにリクエストを転送される可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Apache Software Foundation

• Apache httpd 2.4 vulnerabilities : Fixed in Apache HTTP Server 2.4.49
• Pony Mail : [users@httpd] Regarding CVE-2021-40438
• Pony Mail : [Bug 65616] CVE-2021-36160 regression
• Pony Mail : [users@httpd] Re: [External] : [users@httpd] 2.4.49 security fixes: more info
• Pony Mail : Re: [users@httpd] Re: [External] : [users@httpd] 2.4.49 security fixes: more info
• Pony Mail : [users@httpd] 2.4.49 security fixes: more info
• Pony Mail : Re: [users@httpd] 2.4.49 security fixes: more info
• Pony Mail : Re: [users@httpd] Regarding CVE-2021-40438

Debian

• Debian : [SECURITY] [DLA 2776-1] apache2 security update
• Debian Security Advisory : DSA-4982-1

F5 Networks

• F5 Networks : F5OS Knowledge Center

Fedora Project

• Fedora Update Notification : FEDORA-2021-dce7e7738e
• Fedora Update Notification : FEDORA-2021-e3f6dd670d

NetApp

• NetApp Advisory : NTAP-20211008-0004

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2021-139
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2021-139

1. サーバサイドのリクエストフォージェリ(CWE-918) [NVD評価]

1. CVE-2021-40438

1. National Vulnerability Database (NVD) : CVE-2021-40438

• [2021年11月16日]
    掲載