2024年7月にApache HTTP Serverについて複数の重大な脆弱性(CVE-2024-38474,CVE-2024-38475,他)が発表されました。
今回発表された脆弱性の中には、Red HatによるCVSS v3 Base Score(脆弱性の深刻度を表す指標)において、0から10段階のうち8.1と定義されており、今回の脆弱性の重要度は非常に高いと言えるでしょう。仮にApacheで稼働しているWebシステムなどで今回の脆弱性を悪用されると、直接アクセスできないファイルやソースの漏洩などの可能性があります。
※<2024年7月18日追記> 修正バージョン(Apache HTTP Server 2.4.60)の修正が不十分だったため、2.4.61が発表されましたが、その修正も不十分だったとして2024年7月18日にApache HTTP Server 2.4.62が公開されました。
本記事では脆弱性の対象バージョンから影響範囲、対策方法までをお伝えします。
この記事でわかること
① 今回の脆弱性の概要と深刻度
② 脆弱性の影響を受ける範囲
③ 脆弱性への対応方法
④ セキュリティ対策のポイント
目次
脆弱性の対象となるバージョン
今回の脆弱性の概要
影響を受けるバージョンはApache HTTP Server 2.4.59およびそれ以前のバージョンと発表されています。
CVE-2024-36387をはじめとするこの度の脆弱性は、Apache HTTPServerの特定のバージョンにおいて発見された脆弱性です。この脆弱性を悪用されると、本来アクセスできないファイルやスクリプトに外部からアクセスされたり、CGIのソースコードを参照されてしまうといったリスクがあります。具体的には以下のような影響を受ける可能性があります。
想定される影響
・サーバープロセスが停止する(CVE-2024-36387、CVE-2024-38477)
・NTMLハッシュが漏洩する(CVE-2024-38472)
・認証処理が回避される(CVE-2024-38473)
・特定のパスにおいて、スクリプトが実行されたり、ソースコードが漏えいしたりする(CVE-2024-38474、CVE-2024-38475)
・システム内の情報が漏えいしたり、コードが実行されたりする(CVE-2024-38476)
・URLの不正な置き換えやリダイレクトが行われる(CVE-2024-39573)
引用:JVNVU#97151944 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
<2024年7月18日追記>
修正バージョン(Apache HTTP Server 2.4.60)の修正が不十分だったため、2.4.61が発表されましたが、その修正も不十分だったとして2024年7月18日にApache HTTP Server 2.4.62が公開されました。そのため、脆弱性の影響を受ける可能性のあるバージョンもApache HTTP Server 2.4.61およびそれ以前のバージョンとなっております。
参照:JVNVU#99133886 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート
想定される影響
・ローカルコンテンツのソースコードが窃取される(CVE-2024-40725)
・NTMLハッシュが漏えいする(CVE-2024-40898)
脆弱性の対策(ディストリビューション別の対応)
Amazon LinuxやRed Hatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。以下、対応するページより最新の情報を取得することができます。他のOSの場合も提供元の発表を確認することをお勧めします。
Amazon Linux 2
CVE-2024-36387
CVE-2024-38477
CVE-2024-38472
CVE-2024-38473
CVE-2024-38474
CVE-2024-38475
CVE-2024-38476
CVE-2024-39573
CVE-2024-40725
CVE-2024-40898
Red Hat Enterprise Linux 8
CVE-2024-36387
CVE-2024-38477
CVE-2024-38472
CVE-2024-38473
CVE-2024-38474
CVE-2024-38475
CVE-2024-38476
CVE-2024-39573
CVE-2024-40725
Webサイトへの影響について
Apache HTTP Server 2.4系の複数の脆弱性により、Webサイトに深刻な影響が及ぶ可能性があります。これらの脆弱性は、サーバープロセスの停止、NTLMハッシュの漏洩、認証処理の回避、特定パスでのスクリプト実行やソースコード漏洩、システム情報の漏洩やコード実行、URLの不正な置き換えやリダイレクトなどを引き起こす可能性があります。
さらに最新のバージョン(Apache HTTP Server 2.4.61)においても、ローカルコンテンツのソースコード窃取やNTLMハッシュの漏洩のリスクが残っています。これらの脆弱性は、Webサイトのセキュリティを著しく低下させ、機密情報の漏洩や不正アクセスの危険性を高めます。サイト管理者は最新版へのアップデートを迅速に行い、セキュリティ対策を強化することが重要です。
セキュリティ対策のポイント
早期適用の重要性
脆弱性が発見された場合、すぐに対策を取ることが重要です。脆弱性が発見された直後は、攻撃者が脆弱性を悪用しようとする可能性が高いため、迅速な対応が求められます。
また、脆弱性を修正するためのパッチが公開された場合は、できるだけ早くパッチを適用することが重要です。パッチを適用することで、攻撃者による脆弱性の悪用を防ぐことができます。
参照情報:
JVNVU#97151944Apache HTTP Server 2.4における複数の脆弱性に対するアップデート【Japan Vulnerability Notes】
JVNVU#99133886Apache HTTP Server 2.4における複数の脆弱性に対するアップデート【Japan Vulnerability Notes】
https://access.redhat.com/hydra/rest/securitydata/cve【Red Hat, Inc.】
脆弱性対策ならクロジカサーバー管理
脆弱性対応は、サーバーのセキュリティを確保するために非常に重要です。脆弱性を放置すると、攻撃者に悪用される可能性があり、企業や組織にとって大きな損失につながる可能性があります。
そのため脆弱性が発見された場合は、できるだけ早く対策を取ることが重要です。そこで弊社のようなコーポレートサイト向けサーバー管理サービス事業者のサポートの手を借りることをおすすめします。
弊社がサポートさせていただく際の具体的な支援内容としては、脆弱性の早期発見からパッチの適用、設定の変更、セキュリティソフトウェアの導入提案などを速やかに実施させていただきます。
監修者:クロジカサーバー管理編集部
コーポレートサイト向けクラウドサーバーの構築・運用保守を行うサービス「クロジカサーバー管理」を提供。上場企業や大学、地方自治体など、セキュリティ対策を必要とするコーポレートサイトで250社以上の実績があります。当社の運用実績を踏まえたクラウドサーバー運用のノウハウをお届けします。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
