製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache HTTP Server における Windows 上で稼働する httpd を停止される脆弱性

タイトル	Apache HTTP Server における Windows 上で稼働する httpd を停止される脆弱性
概要	Apache HTTP Server には、Windows 上で稼働する httpd を停止される脆弱性が存在します。
想定される影響	権限のないローカルユーザにより、Windows 上で稼働する httpd を停止される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2021年6月1日0:00
登録日	2022年2月8日15:50
最終更新日	2022年2月8日15:50

CVSS3.0 : 警告
スコア	5.5
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CVSS2.0 : 注意
スコア	2.1
ベクター	AV:L/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

Apache Software Foundation

Apache HTTP Server 2.4.0 から 2.4.46

日立

Cosminexus HTTP Server

Hitachi Application Server

Hitachi Application Server for Developers

Hitachi Web Server

Hitachi Web Server - Custom Edition

uCosminexus Application Server

uCosminexus Application Server Enterprise

uCosminexus Application Server Express

uCosminexus Application Server Smart Edition

uCosminexus Application Server Standard

uCosminexus Application Server Standard-R

uCosminexus Application Server-R

uCosminexus Developer

uCosminexus Developer 01

uCosminexus Developer Professional

uCosminexus Developer Professional for Plug-in

uCosminexus Developer Standard

uCosminexus Primary Server Base

uCosminexus Service Architect

uCosminexus Service Platform

uCosminexus Service Platform - Messaging

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-13938	https://www.cve.org/CVERecord?id=CVE-2020-13938
National Vulnerability Database (NVD)
2	CVE-2020-13938	https://nvd.nist.gov/vuln/detail/CVE-2020-13938
Pony Mail
3	CVE-2020-13938: Improper Handling of Insufficient Privileges	https://lists.apache.org/thread/kfv8r4o6q94lf15tgn11z18r8dd8hgqp

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
Apache httpd 2.4 vulnerabilities
1	Fixed in Apache HTTP Server 2.4.48	https://httpd.apache.org/security/vulnerabilities_24.html
Hitachi Software Vulnerability Information
2	hitachi-sec-2022-102	https://www.hitachi.co.jp/Prod/comp/soft1/global/security/info/vuls/hitachi-sec-2022-102/index.html
Pony Mail
3	Re: svn commit: r1890598 - in /httpd/site/trunk/content/security/json: CVE-2019-17567.json CVE-2020-13938.json CVE-2020-13950.json CVE-2020-35452.json CVE-2021-26690.json CVE-2021-26691.json CVE-2021-30641.json CVE-2021-31618.json	https://lists.apache.org/thread/orcdfl9por2ykh3hcs81mv6om83gf3by
4	svn commit: r48071 - in /release/httpd: Announcement2.4.html Announcement2.4.txt CHANGES_2.4 CHANGES_2.4.48 CURRENT-IS-2.4.46 CURRENT-IS-2.4.48	https://lists.apache.org/thread/4ch56dypz8shr8zw3nw4t6kt711tsk6y
ソフトウェア製品セキュリティ情報
5	hitachi-sec-2022-102	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2022-102/index.html

その他

No	名前	URL
JVN
1	JVNVU#96037838	https://jvn.jp/vu/JVNVU96037838/

変更履歴

No	変更内容	変更日
1	[2022年02月08日] 掲載	2022年2月8日15:25

NVD脆弱性情報

CVE-2020-13938

概要	Apache HTTP Server versions 2.4.0 to 2.4.46 Unprivileged local users can stop httpd on Windows
公表日	2021年6月10日16:15
登録日	2021年6月10日20:00
最終更新日	2024年11月21日14:02

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:http_server::::::::		2.4.0	2.4.46
実行環境
1	cpe:2.3:o:microsoft:windows:-:::::::*

構成2	以上	以下	より上	未満
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_1::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_2::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_3::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_4::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_5::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_6::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:-::::::
cpe:2.3:a:mcafee:epolicy_orchestrator::::::::				5.10.0
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_7::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_8::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_9::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_10::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_11::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_12::::::

構成3		以上	以下	より上	未満
cpe:2.3:a:netapp:cloud_backup:-:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://httpd.apache.org/security/vulnerabilities_24.html	Release Notes Vendor Advisory
2	http://www.openwall.com/lists/oss-security/2021/06/10/3	Mailing List Third Party Advisory
3	https://kc.mcafee.com/corporate/index?page=content&id=SB10379	Third Party Advisory
4	https://lists.apache.org/thread.html/r5fdc4fbbc7ddb816c843329a9accdcf284ade86e8d77b8c2a6d9bc30%40%3Cannounce.httpd.apache.org%3E
5	https://lists.apache.org/thread.html/r7f2b70b621651548f4b6f027552f1dd91705d7111bb5d15cda0a68dd%40%3Cdev.httpd.apache.org%3E
6	https://lists.apache.org/thread.html/re026d3da9d7824bd93b9f871c0fdda978d960c7e62d8c43cba8d0bf3%40%3Ccvs.httpd.apache.org%3E	Mailing List Release Notes Vendor Advisory
7	https://security.netapp.com/advisory/ntap-20210702-0001/	Third Party Advisory
8	http://httpd.apache.org/security/vulnerabilities_24.html	Release Notes Vendor Advisory
9	https://security.netapp.com/advisory/ntap-20210702-0001/	Third Party Advisory
10	https://lists.apache.org/thread.html/re026d3da9d7824bd93b9f871c0fdda978d960c7e62d8c43cba8d0bf3%40%3Ccvs.httpd.apache.org%3E	Mailing List Release Notes Vendor Advisory
11	https://lists.apache.org/thread.html/r7f2b70b621651548f4b6f027552f1dd91705d7111bb5d15cda0a68dd%40%3Cdev.httpd.apache.org%3E
12	https://lists.apache.org/thread.html/r5fdc4fbbc7ddb816c843329a9accdcf284ade86e8d77b8c2a6d9bc30%40%3Cannounce.httpd.apache.org%3E
13	https://kc.mcafee.com/corporate/index?page=content&id=SB10379	Third Party Advisory
14	http://www.openwall.com/lists/oss-security/2021/06/10/3	Mailing List Third Party Advisory

共通脆弱性一覧

構成2	以上	以下	より上	未満
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_1::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_2::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_3::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_4::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_5::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_6::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:-::::::
cpe:2.3:a:mcafee:epolicy_orchestrator::::::::				5.10.0
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_7::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_8::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_9::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_10::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_11::::::
cpe:2.3:a:mcafee:epolicy_orchestrator:5.10.0:update_12::::::