製品・ソフトウェアに関する情報
脆弱性検索
Apache HTTP Server 2.4 における複数の脆弱性に対するアップデート
タイトル Apache HTTP Server 2.4 における複数の脆弱性に対するアップデート
概要

The Apache Software Foundation から、Apache HTTP Server 2.4 系における次の複数の脆弱性に対応した Apache HTTP Server 2.4.50 が公開されました。  * HTTP/2 リクエストの処理における、NULL ポインタ参照の脆弱性 - CVE-2021-41524  * パスの正規化処理の欠陥による、パストラバーサルの脆弱性 - CVE-2021-41773

想定される影響 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。   * サービス運用妨害 (DoS) - CVE-2021-41524  * ドキュメントルート外に置かれた「require all denied」で保護されていないファイルにアクセスされる - CVE-2021-41773  
対策

[アップデートする] <a href="https://downloads.apache.org/httpd/Announcement2.4.html"target="blank">開発者が提供する情報</a>をもとに、最新版にアップデートしてください。

公表日 2021年10月6日0:00
登録日 2021年10月7日14:00
最終更新日 2022年1月27日13:38
影響を受けるシステム
Apache Software Foundation
Apache HTTP Server 2.4.49
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2021年10月07日]   掲載 2021年10月7日11:55
2 [2022年01月27日]
  ベンダ情報:日本電気 (NV22-003) を追加		 2022年1月27日11:28
NVD脆弱性情報
CVE-2021-41524
概要

While fuzzing the 2.4.49 httpd, a new null pointer dereference was detected during HTTP/2 request processing, allowing an external source to DoS the server. This requires a specially crafted request. The vulnerability was recently introduced in version 2.4.49. No exploit is known to the project.

公表日 2021年10月5日18:15
登録日 2021年10月5日20:00
最終更新日 2024年11月21日15:26
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:http_server:2.4.49:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:oracle:instantis_enterprisetrack:17.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.3:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
CVE-2021-41773
概要

A flaw was found in a change made to path normalization in Apache HTTP Server 2.4.49. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue is known to be exploited in the wild. This issue only affects Apache 2.4.49 and not earlier versions. The fix in Apache HTTP Server 2.4.50 was found to be incomplete, see CVE-2021-42013.

公表日 2021年10月5日18:15
登録日 2021年10月5日20:00
最終更新日 2024年11月21日15:26
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:http_server:2.4.49:*:*:*:*:*:*:*
構成2 以上 以下 より上 未満
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*
構成3 以上 以下 より上 未満
cpe:2.3:a:oracle:instantis_enterprisetrack:17.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.2:*:*:*:*:*:*:*
cpe:2.3:a:oracle:instantis_enterprisetrack:17.3:*:*:*:*:*:*:*
構成4 以上 以下 より上 未満
cpe:2.3:a:netapp:cloud_backup:-:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧