JPCERT/CC
2021-10-06(新規)
2021-10-08(更新)
Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210043.html
I.概要
Apache HTTP Serverのバージョン2.4.49には、パストラバーサルの脆弱性(CVE-2021-41773)があります。結果として、遠隔の第三者が、細工したリクエストを送信し、Apache HTTP Serverが稼働するサーバーでアクセスが適切に制限されていないドキュメントルート外のファイルを読み取るなどの可能性があります。
important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.50
2021年10月7日(米国時間)、The Apache Software Foundationは、本脆弱性の修正として提供したバージョン2.4.50に、別のパストラバーサルの脆弱性(CVE-2021-42013)があることが判明したことを発表し、本脆弱性を修正するバージョン2.4.51をリリースしました。
critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.51
**********************************************************************
II.対象
次のバージョンのApache HTTP Serverが本脆弱性の影響を受けます。
別のパストラバーサルの脆弱性(CVE-2021-42013)の影響を受けるのは、次のバージョンのApache HTTP Serverです。
– Apache HTTP Server 2.4.50
**********************************************************************
III.対策
The Apache Software Foundationから本脆弱性を修正する次のバージョンが公開されています。速やかに対策の実施をご検討ください。
別のパストラバーサルの脆弱性(CVE-2021-42013)を修正する次のバージョンが公開されています。
**********************************************************************
IV. 参考情報
The Apache Software Foundation
Apache HTTP Server 2.4.50 Released
https://downloads.apache.org/httpd/Announcement2.4.html
改訂履歴
2021-10-06 初版
2021-10-08 「I. 概要」「II. 対象」「III. 対策」の追記
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: 
https://www.jpcert.or.jp/