こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。
2022年3月にApache HTTP Serverについて重大な脆弱性(CVE-2022-22720)が発表されました。
悪用されるとHTTPリクエスト・スマグリング攻撃を引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がCriticalとなっています。
https://nvd.nist.gov/vuln/detail/CVE-2022-22720
Apacheで稼働しているWebシステムなどで今回の脆弱性を悪用されると、攻撃者以外のユーザーのリクエストを意図しないものに書き換えられてしまう可能性があります。
脆弱性の対象となるバージョン
影響を受けるバージョンは Apache HTTP Server 2.4.52 およびそれ以下のバージョン、と発表されています。
https://nvd.nist.gov/vuln/detail/CVE-2022-22720
脆弱性の対策
Amazon LinuxやRedhatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。
■ Amazon Linux 2
https://alas.aws.amazon.com/AL2/ALAS-2022-1783.html
■ Red Hat Enterprise Linux Server 7
https://access.redhat.com/errata/RHSA-2022:1045
■ Red Hat Enterprise Linux Server 8
https://access.redhat.com/errata/RHSA-2022:1049
Webサイトへの影響について
2022年4月時点ではアメリカ国立標準技術研究所の脆弱性データベースでエラー発生時に受け付けたリクエストの破棄に失敗すること以上の詳細は発表されておらず、構成による影響有無などは判断が難しい状況です。
一般的にHTTPリクエスト・スマグリング攻撃では攻撃者が細工したリクエストを行うことで、他ユーザーのリクエスト時に不正な処理を実行させることが可能と言われています。
コメント機能など、ユーザーのリクエストが反映されるサイトやCMSなどの管理画面にアクセス制限をかけていないサイトでは特に注意が必要と思われます。
さいごに
Apacheは古くから多くのWebサーバーで使われており、性能面でNginxの人気が高くなっても .htaccess による手軽な設定変更などでまだまだデファクトスタンダードの一つとなっています。
利用していないプラグインを全て無効化している環境であれば問題ありませんが、Apacheインストール時に標準で有効化されているものはそのまま、という環境も少なからずあるのではないでしょうか。
弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
