Apache HTTP Server 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013]
2021.10.7 公開
2021.10.8 更新
2021.10.19 更新
2021.10.25 更新
概要
Apache HTTP Server 2.4.49 および 2.4.50 には、リモートから任意のコードを容易に実行される問題 (CVE-2021-41773, CVE-2021-42013) が存在します。
これらのセキュリティホールを利用された場合、ドキュメントルートの外側を「require all denied」設定によって保護しておらず CGI スクリプトを有効にしている際に、リモートの攻撃者に細工されたリクエストを送信されることによって任意のコードを実行される可能性があります。
また、ドキュメントルートの外側を「require all denied」設定によって保護しておらず CGI スクリプトを無効にしている場合は、リモートの攻撃者に細工されたリクエストを送信されることによってディレクトリトラバーサルによる攻撃を受け、/etc/passwd などの機密情報を読み取られる可能性があります。
なお CVE-2021-42013 は CVE-2021-41773 の修正が不十分なため発生したものです。
Apache HTTP Server 2.4.49 には、ドキュメントルートの外側のファイルへアクセスされる問題 (CVE-2021-41773) が存在します。
この脆弱性を利用された場合、ドキュメントルートの外側を「require all denied」設定によって保護していない際に、リモートの攻撃者に細工されたリクエストを送信されることによってディレクトリトラバーサルによる攻撃を受け、ドキュメントルートの外側のファイルへアクセスされる可能性があります。
公式の説明では、CGI スクリプトなどのソースコードを読み取られる可能性もあるとされています。
しかしながら
/etc/passwd などの機密情報の読み取りや、mod_cgi などを組み込んでいる場合には任意のコード実行も容易に可能なため、受ける被害は公式の説明より深刻です。
既にこの脆弱性を利用してサーバ上で任意のコマンドを実行する実証コードも公開されています。また悪用も確認されています。可能な限り早く修正プログラムを適用してください。
以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。
(2021年10月8日 更新)
影響を受ける環境
影響を受けるアプリケーションとバージョンは以下のとおりです。
-
Apache httpd 2.4.49, 2.4.50 (2021年10月8日 更新)
- ドキュメントルートの外側を「require all denied」設定によって保護していない
各ディストリビューションが配布しているパッケージの影響は次のとおりです。
| OS・ディストリビューション | パッケージ・コンポーネント | 影響の有無 |
|---|---|---|
| Amazon Linux AMI 2 | httpd |
影響有り (2021年10月19日 追加) |
| Amazon Linux AMI 1 | httpd24 |
影響有り (2021年10月19日 追加) |
| Oracle Solaris 11.4 | Apache HTTP server |
影響有り (2021年10月25日 追加) |
| Red Hat Enterprise Linux 8 | httpd:2.4/httpd |
CVE-2021-41773 : 影響無 CVE-2021-42013 : 影響無 (2021年10月19日 更新) |
| Red Hat Enterprise Linux 7 | httpd |
CVE-2021-41773 : 影響無 CVE-2021-42013 : 影響無 (2021年10月19日 更新) |
| Red Hat Enterprise Linux 6 | httpd |
CVE-2021-41773 : 影響無 CVE-2021-42013 : 影響無 (2021年10月19日 更新) |
| Ubuntu 20.04 LTS | apache2 | 影響しません |
| Ubuntu 18.04 LTS | apache2 | 影響しません |
| Ubuntu 16.04 ESM | apache2 | 影響しません |
| Ubuntu 14.04 ESM | apache2 | 影響しません |
| Debian 11.0 (bullseye) | apache2 | 影響しません |
| Debian 10.0 (buster) | apache2 | 影響しません |
対策
修正プログラム
公式から修正プログラムが提供されています。
- Apache httpd 2.4.51 以上 (2021年10月8日 更新)
Amazon Web Services から修正パッケージが提供されています。
- ALAS2-2021-1716 (2021年10月19日 追加)
- ALAS-2021-1543 (2021年10月19日 追加)
更新履歴
-
2021年10月07日
- 新規公開
-
2021年10月08日
- CVE-2021-42013 の公開に伴い、タイトルおよび内容を更新しました。
-
2021年10月19日
- 「影響を受ける環境」の Red Hat Enterprise Linux 8/7/6 の CVE-2021-42013 を「影響無」に更新しました。
- 「影響を受ける環境」に Amazon Linux AMI 2/1 の影響を追加しました。
- 「対策」に Amazon Linux AMI 2/1 のアドバイザリへのリンクを追加しました。
-
2021年10月25日
- 「影響を受ける環境」に Oracle Solaris 11.4 の影響を追加しました。
参照
- "important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)," The Apache Software Foundation, Oct 4, 2021.
- "critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)," The Apache Software Foundation, Oct 7, 2021.
- 「Apache HTTP Server の脆弱性対策について(CVE-2021-41773)」, 情報処理推進機構, 2021年10月06日
- 「JVNVU#98852848 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」, Japan Vulnerability Notes, 2021年10月06日
- 「JPCERT-AT-2021-0043 Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起」 JPCERT/CC, 2021年10月06日
- "CVE-2021-41773," The Debian Project, Oct, 2021.
- "CVE-2021-41773," Canonical Ltd., Oct, 2021.
- "CVE-2021-41773," Red Hat Customer Portal, Oct 6, 2021.
- "CVE-2021-42013," The Debian Project, Oct, 2021.
- "CVE-2021-42013," Canonical Ltd., Oct, 2021.
- "CVE-2021-42013," Red Hat Customer Portal, Oct 7, 2021.
- "Oracle Solaris Third Party Bulletin - October 2021," Oracle Corporation, Oct 19, 2021.
