Apache HTTP Server 2.4.49~50でパストラバーサルおよびリモートコード実行の脆弱性(CVE-2021-41773・CVE-2021-42013)
![[注意喚起]Apache HTTP Server 2.4.49でパストラバーサルの脆弱性(CVE-2021-41773)](https://a-zs.net/wordpress/wp-content/uploads/2121/10/apache_http_server_vulnerability-eye.png)
2021年10月4日、Webサーバ用ソフトウェア「Apache HTTP Server 2.4.49」にパストラバーサルの脆弱性(CVE-2021-41773)が確認されました。既にこの脆弱性を利用した攻撃が始まっているとのことです。
(2021/10/8更新)「パストラバーサルおよびリモートコード実行の脆弱性(CVE-2021-42013)」:パストラバーサルの脆弱性の修正が不十分であることが確認されました。
情報ソース
脆弱性の対象
Apache HTTP Serverバージョン2.4.49がインストールされたデバイスが対象です。
Apache HTTP Serverバージョン2.4.49、および2.4.50がインストールされたデバイスが対象です。
脆弱性の詳細
遠隔の攻撃者が本来は不可能なディレクトリへのアクセスが成功してしまう可能性があります。Apacheによると、ドキュメントルート外のファイルが「require all denied(すべて拒否する)」で保護されていない場合、攻撃に成功してしまうとのことです。
既にこの脆弱性を利用した攻撃を受け、CGIスクリプトなどのファイルのソースが漏えいしたケースも確認されています。
解決方法
至急Apache HTTP Serverを最新の状態(バージョン2.4.50)にアップデートして下さい。最新バージョンで既にこの脆弱性は修正されています。
最新バージョン「Apache HTTP Server 2.4.51」にアップデートして下さい。パストラバーサルおよびリモートコード実行の脆弱性(CVE-2021-42013)の修正が適用されます。
Apache HTTP Server 2.4.49はリリースされてからまだ数週間ほどしか経っていません。なるべく早く最新の状態にアップデートしましょう。
▼以下のリンクからダウンロード可能です。
MECM(SCCM)ならアプリケーションのアップデート適用も効率的に
MECMの機能を使えば、1万台もの大量のPCにも効率的にアプリケーションのアップデート適用が可能です。弊社アーザスではMECMの構築から運用までサポートしています。お気軽にご相談下さい!