2019 年 4 月 1 日、Apache HTTP サーバー プロジェクトは、Apache HTTP サーバー バージョン 2.4.38 以前に影響する脆弱性の概要を示すセキュリティ アドバイザリをリリースしました。 セキュリティ アドバイザリを確認するには、
https://httpd.apache.org/security/vulnerabilities_24.html を参照してください。
Apache Server Project セキュリティ アドバイザリには、次の CVE がリストされています。
- CVE-2019-0211
- CVE-2019-0217
- CVE-2019-0215
- CVE-2019-0197
- CVE-2019-0196
- CVE-2019-0220
説明
- CVE-2019-0211
MPM event、worker または prefork を使用すると、特権の少ない子プロセスまたはスレッド(インプロセス スクリプト インタープリターによって実行されるスクリプトを含む)で実行されるコードは、親プロセス(通常は root)の特権で任意のコードを実行できます。 このアクションは、スコアボードを操作することによって実行されます。 UNIX 以外のシステムは影響を受けません。
- CVE-2019-0217
スレッド サーバーで実行中の mod_auth_digest の競合状態により、有効な資格情報を持つユーザーが、構成されたアクセス制御制限をバイパスして、別のユーザー名を使用して認証される可能性があります。
- CVE-2019-0215
TLSv1.3 でロケーションごとのクライアント証明書検証を使用する場合の mod_ssl のバグにより、ポスト ハンドシェイク認証をサポートしているクライアントは、構成されたアクセス制御制限をバイパスすることができました。
- CVE-2019-0197
「http:ホスト」で HTTP/2 が有効になっているか、「http:ホスト」で h2 の H2Upgrade が有効になっている場合、接続時に最初の要求ではない「http/1.1」から「http/2」へのアップグレード要求は、設定ミスやクラッシュが発生する可能性があります。 h2 プロトコルを有効にしていない、または 「https:」に対してのみ有効にしている、もしくは、「H2Upgrade on」を設定しなかったサーバーは影響を受けません。
- CVE-2019-0196
ファジングされたネットワーク入力を使用すると、リクエストのメソッドを判別するときに文字列比較で解放されたメモリにアクセスするように http/2 リクエスト処理が行われ、リクエストが正しく処理されない可能性があります。
- CVE-2019-0220
リクエスト URL のパス コンポーネントに複数の連続したスラッシュ( '/')が含まれている場合、LocationMatch や RewriteRule などのディレクティブは正規表現の重複を考慮する必要がありますが、サーバー処理の他の側面では暗黙的に省略されます。
調査と結論
ePO エンジニアリング チームは、以下の各 CVE を調査し、ePO は影響を受け
ないと結論付けました。
- CVE-2019-0211: ePO は Windows のみであり、この CVE は UNIX システムのみに影響します。
- CVE-2019-0217: ePO は mod_auth_digest モジュールを使用しません。
- CVE-2019-0215: ePO Apache はまだ TLS1.3 をサポートしていません。
- CVE-2019-0197: ePO Apache はまだ HTTP/2 をサポートしていません。
- CVE-2019-0196: ePO Apache はまだ HTTP/2 をサポートしていません。
- CVE-2019-0220: ePO は RewriteRule ディレクティブを使用しません (再書き込みモジュールは有効ではありません)。また、LocationMatch も使用しません。
ePO によって読み込まれる Apache モジュールのリストについては、
KB82555 を参照してください。