TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Apache HTTP Server (まとめ)

【目次】

概要

【概要】
CVE番号
NVD
CVSS v3
CWE
脆弱性
備考
2021/10/06 CVE-2021-41773 NVD
7.5(NVD)
CWE-22 パストラバーサル Apache 2.4.50 で修正
2021/10/06 CVE-2021-41524 NVD
7.5(NVD)
CWE-476 NULL ポインタデリファレンス Apache 2.4.50 で修正
2021/10/07 CVE-2021-42013 NVD
9.8(NVD)
CWE-22 パストラバーサル Apache 2.4.51 で修正
2021/12/20 CVE-2021-44790 NVD
9.8(NVD)
CWE-787 領域外メモリへの書き出し Apache 2.4.52 で修正
2021/12/20 CVE-2021-44224 NVD
8.2(NVD)
CWE-476 NULL ポインタデリファレンス Apache 2.4.52 で修正
2022/06/13 CVE-2022-26377 NVD
7.5(NVD)
CWE-444 HTTPリクエストスマグリング Apache 2.4.54 で修正
2022/06/13 CVE-2022-28330 NVD 5.3(NVD) CWE-125 境界外読み取り Apache 2.4.54 で修正
2022/06/13 CVE-2022-28614 NVD 5.3(NVD) CWE-200, CWE-190 領域外読み取り Apache 2.4.54 で修正
2022/06/13 CVE-2022-28615 NVD 5.3(NVD) CWE-200, CWE-190 領域外読み取り Apache 2.4.54 で修正
2022/06/13 CVE-2022-29404 NVD
7.5(NVD)
CWE-770 サービス運用妨害(DoS) Apache 2.4.54 で修正
2022/06/13 CVE-2022-30522 NVD
7.5(NVD)
CWE-789 サービス運用妨害(DoS) Apache 2.4.54 で修正
2022/06/13 CVE-2022-30556 NVD
7.5(NVD)
CWE-200 情報漏えい Apache 2.4.54 で修正
2022/06/13 CVE-2022-31813 NVD
9.8(NVD)
CWE-348 mod_proxyのX-Forwarded-Forヘッダーがオリジンサーバに送られない Apache 2.4.54 で修正
2023/01/17 CVE-2006-20001 NVD - CWE-787 境界外書き込み Apache 2.4.55 で修正
2023/01/17 CVE-2022-36760 NVD - CWE-444 HTTP リクエストスマグリング Apache 2.4.55 で修正
2023/01/17 CVE-2022-37436 NVD - CWE-113 HTTP レスポンスの分割 Apache 2.4.55 で修正

記事

【ニュース】

■2021年

◇2021年10月

◆「Apache HTTPD」がアップデート - 一部脆弱性はすでに悪用済み (Security NEXT, 2021/10/06)
https://www.security-next.com/130424
https://vul.hatenadiary.com/entry/2021/10/06/000000_3

◆Actively exploited Apache 0-day also allows remote code execution (BleepingComputer, 2021/10/06 11:29)
[Apacheの0-dayを積極的に利用すると、リモートコードの実行も可能になる。]
https://www.bleepingcomputer.com/news/security/actively-exploited-apache-0-day-also-allows-remote-code-execution/
https://vul.hatenadiary.com/entry/2021/10/06/000000

◆「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測 (Security NEXT, 2021/10/07)
https://www.security-next.com/130474
https://vul.hatenadiary.com/entry/2021/10/07/000000

◆独自コードで検証、「Apache HTTPD」の修正不備を発見 (Security NEXT, 2021/10/08)
https://www.security-next.com/130567
https://vul.hatenadiary.com/entry/2021/10/08/000000_2

◆「Apache HTTP Server」のゼロデイ脆弱性対策は不十分 ~「Apache 2.4.51」で追加修正 (窓の杜, 2021/10/08 09:14)

パストラバーサルによりドキュメントルートの外にあるファイルへアクセスされる

https://forest.watch.impress.co.jp/docs/news/1356957.html
https://vul.hatenadiary.com/entry/2021/10/08/000000_1

◆わずか3日、「Apache HTTPD」が再修正 - 前回修正は不十分、あらたにRCEのおそれも (Security NEXT, 2021/10/08)
https://www.security-next.com/130520
https://vul.hatenadiary.com/entry/2021/10/08/000000


◇2021年12月

◆Apache HTTP Server 2.4.52が公開 深刻度「緊急」の脆弱性に対処 (ITmedia, 2021/12/24)
https://www.itmedia.co.jp/enterprise/articles/2112/24/news049.html
https://vul.hatenadiary.com/entry/2021/12/24/000000_1


■2022年

◇2022年6月

◆Apache HTTP Server 2.4に複数の脆弱性 (NetSecurity, 2022/06/13 08:00)
https://scan.netsecurity.ne.jp/article/2022/06/13/47717.html
https://vul.hatenadiary.com/entry/2022/06/13/000000


■2023年

◇2023年1月

◆Apache HTTP Server 2.4に複数の脆弱性、対策版へのアップデートを (マイナビニュース, 2023/01/19 13:47)
https://news.mynavi.jp/techplus/article/20230119-2567574/

【公開情報】

■2021年

◇2021年10月

◆Apache HTTP Server の脆弱性対策について(CVE-2021-41773) (IPA, 2021/10/06)
https://www.ipa.go.jp/security/ciadr/vul/alert20211006.html

◆Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起 (JPCERT/CC, 2021/10/06)
https://www.jpcert.or.jp/at/2021/at210043.html
https://vul.hatenadiary.com/entry/2021/10/06/000000_1

【関連情報】

◆CVE-2021-41773 (まとめ)
https://vul.hatenadiary.com/entry/CVE-2021-41773


【関連まとめ記事】

◆全体まとめ
https://vul.hatenadiary.com/entry/root


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022