こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年1月にApache HTTP Serverについて脆弱性(CVE-2021-44790)が発表されました。
悪用されるとバッファオーバーフローを引き起こされる可能性があり、Redhat社からは2番目に重要度の高いImportant Impact と発表されています。
https://access.redhat.com/security/cve/CVE-2021-44790
WebシステムなどでLuaスクリプトを利用していて今回の脆弱性を悪用されると、最悪の場合バッファオーバーフローによってサーバーを乗っ取られてしまう可能性もあります。
脆弱性の対象となるバージョン
影響を受けるバージョンは Apache HTTP Server 2.4.51 およびそれ以下のバージョン、と発表されています。
https://nvd.nist.gov/vuln/detail/CVE-2021-44790
脆弱性の対策
Amazon LinuxやRedhatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。
■ Amazon Linux 2
https://alas.aws.amazon.com/AL2/ALAS-2022-1737.html
■ Red Hat Enterprise Linux Server 7
https://access.redhat.com/errata/RHSA-2022:0143
Webサイトへの影響について
WordPressならPHP、MovebleTypeならPHP+Perl、といったようにCMSやWebサイトでLuaを使っているケースは多くありません。
ただし、Redhat系のLinuxの標準パッケージでApacheをインストールしている場合は初期状態のままでmod_luaが有効になっている可能性があります。
Luaスクリプトを使っていないようであれば本脆弱性単体による影響は基本ありませんが、.htaccess の設定で AddHandler を追加すればLuaスクリプトを実行できるようになるため、Webシステムの開発などを委託している場合は開発元にも影響を確認することをお勧めします。
さいごに
Apacheは古くから多くのWebサーバーで使われており、性能面でNginxの人気が高くなっても .htaccess による手軽な設定変更などでまだまだデファクトスタンダードの一つとなっています。
利用していないプラグインを全て無効化している環境であれば問題ありませんが、Apache
インストール時に標準で有効化されているものはそのまま、という環境も少なからずあるのではないでしょうか。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。
サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
