| Summary | Prior to Apache HTTP Server 2.4.55, a malicious backend can cause the response headers to be truncated early, resulting in some headers being incorporated into the response body. If the later headers have any security purpose, they will not be interpreted by the client. |
|---|---|
| Publication Date | Jan. 18, 2023, 5:15 a.m. |
| Registration Date | Jan. 18, 2023, 10 a.m. |
| Last Update | Nov. 21, 2024, 4:14 p.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 5.3 |
|---|---|
| Vector | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 不要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | なし |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:http_server:*:*:*:*:*:*:*:* | 2.4.55 | ||||
| Title | Apache HTTP Server 2 におけるレスポンスヘッダを早期に切り捨てられる脆弱性 |
|---|---|
| Summary | Apache HTTP Server 2 には、レスポンスヘッダを早期に切り捨てられる脆弱性が存在します。 |
| Possible impacts | 悪意のあるバックエンドを介して、レスポンスヘッダを早期に切り捨てられ、一部のヘッダがレスポンスボディに組み込まれる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | July 14, 2022, midnight |
| Registration Date | Jan. 30, 2023, 11:57 a.m. |
| Last Update | Sept. 22, 2025, 11:59 a.m. |
| Apache Software Foundation |
| Apache HTTP Server 2.4.55 未満 |
| 日本電気 |
| ActSecure ポータル |
| CONNEXIVE PF V7 |
| HA Device Manager - Storage Navigator のすべてのバージョン (iStorage V シリーズ) |
| iStorage Vシリーズ |
| NeoFace Monitor クラウド版 |
| SpoolServer/ReportFiling |
| WebOTX Application Server Enterprise 9.3 から 9.6 |
| WebOTX Application Server Express 9.3 から 11.1 |
| WebOTX Application Server Standard 9.3 から 11.1 |
| WebOTX Application Server Standard Extended Option 11.1 |
| 得選街・GCB 2.4.6 |
| 日立 |
| 日立高信頼サーバ RV3000 |
| No | Changed Details | Date of change |
|---|---|---|
| 3 | [2023年06月29日] 影響を受けるシステム:ベンダ情報 (NV23-003) の更新に伴い内容を更新 |
June 29, 2023, 10:45 a.m. |
| 4 | [2023年12月13日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2023-217) を追加 |
Dec. 13, 2023, 9:43 a.m. |
| 5 | [2024年02月21日] 参考情報:JVN (JVNVU#91198149) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-046-11) を追加 |
Feb. 21, 2024, 10:12 a.m. |
| 6 | [2024年11月01日] 影響を受けるシステム:ベンダ情報 (NV23-003) の更新に伴い内容を更新 |
Nov. 1, 2024, 11:52 a.m. |
| 7 | [2025年05月16日] 参考情報:JVN (JVNVU#90702915) を追加 参考情報:ICS-CERT ADVISORY (ICSA-25-133-01) を追加 |
May 16, 2025, 2:15 p.m. |
| 1 | [2023年01月30日] 掲載 |
Jan. 30, 2023, 11:57 a.m. |
| 2 | [2023年04月24日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日本電気 (NV23-003) を追加 |
April 25, 2023, 3:02 p.m. |
| 8 | [2025年09月22日] 影響を受けるシステム:ベンダ情報 (NV23-003) の更新に伴い内容を更新 |
Sept. 22, 2025, 11:59 a.m. |