SIDfm ブログ

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

Apache HTTP Server 2.4.49, 2.4.50 に任意のコードを実行される脆弱性 [CVE-2021-41773, CVE-2021-42013]

2021.10.7 公開

2021.10.8 更新

2021.10.19 更新

概要

Apache HTTP Server 2.4.49 および 2.4.50 には、リモートから任意のコードを容易に実行される問題 (CVE-2021-41773, CVE-2021-42013) が存在します。

これらのセキュリティホールを利用された場合、ドキュメントルートの外側を「require all denied」設定によって保護しておらず CGI スクリプトを有効にしている際に、リモートの攻撃者に細工されたリクエストを送信されることによって任意のコードを実行される可能性があります。

また、ドキュメントルートの外側を「require all denied」設定によって保護しておらず CGI スクリプトを無効にしている場合は、リモートの攻撃者に細工されたリクエストを送信されることによってディレクトリトラバーサルによる攻撃を受け、/etc/passwd などの機密情報を読み取られる可能性があります。

なお CVE-2021-42013 は CVE-2021-41773 の修正が不十分なため発生したものです。

Apache HTTP Server 2.4.49 には、ドキュメントルートの外側のファイルへアクセスされる問題 (CVE-2021-41773) が存在します。

この脆弱性を利用された場合、ドキュメントルートの外側を「require all denied」設定によって保護していない際に、リモートの攻撃者に細工されたリクエストを送信されることによってディレクトリトラバーサルによる攻撃を受け、ドキュメントルートの外側のファイルへアクセスされる可能性があります。

公式の説明では、CGI スクリプトなどのソースコードを読み取られる可能性もあるとされています。 しかしながら /etc/passwd などの機密情報の読み取りや、mod_cgi などを組み込んでいる場合には任意のコード実行も容易に可能なため、受ける被害は公式の説明より深刻です。

既にこの脆弱性を利用してサーバ上で任意のコマンドを実行する実証コードも公開されています。また悪用も確認されています。可能な限り早く修正プログラムを適用してください。

以下は、SIDfm RA 脆弱性管理ツールでの当該脆弱性情報の画面を表示したものです。

CVE-2021-41773 CVE-2021-42013

(2021年10月8日 更新)

影響を受ける環境

影響を受けるアプリケーションとバージョンは以下のとおりです。

  • Apache httpd 2.4.49, 2.4.50 (2021年10月8日 更新)
    • ドキュメントルートの外側を「require all denied」設定によって保護していない
flow

各ディストリビューションが配布しているパッケージの影響は次のとおりです。

ディストリビューション パッケージ 影響の有無
Amazon Linux AMI 2 httpd 影響有り
(2021年10月19日 追加)
Amazon Linux AMI 1 httpd24 影響有り
(2021年10月19日 追加)
Red Hat Enterprise Linux 8 httpd:2.4/httpd CVE-2021-41773 : 影響無
CVE-2021-42013 : 影響無
(2021年10月19日 更新)
Red Hat Enterprise Linux 7 httpd CVE-2021-41773 : 影響無
CVE-2021-42013 : 影響無
(2021年10月19日 更新)
Red Hat Enterprise Linux 6 httpd CVE-2021-41773 : 影響無
CVE-2021-42013 : 影響無
(2021年10月19日 更新)
Ubuntu 20.04 LTS apache2 影響しません
Ubuntu 18.04 LTS apache2 影響しません
Ubuntu 16.04 ESM apache2 影響しません
Ubuntu 14.04 ESM apache2 影響しません
Debian 11.0 (bullseye) apache2 影響しません
Debian 10.0 (buster) apache2 影響しません

対策

修正プログラム

公式から修正プログラムが提供されています。

  • Apache httpd 2.4.51 以上 (2021年10月8日 更新)

Amazon Web Services から修正パッケージが提供されています。

更新履歴

  • 2021年10月07日

    • 新規公開

  • 2021年10月08日

    • CVE-2021-42013 の公開に伴い、タイトルおよび内容を更新しました。

  • 2021年10月19日

    • 「影響を受ける環境」の Red Hat Enterprise Linux 8/7/6 の CVE-2021-42013 を「影響無」に更新しました。
    • 「影響を受ける環境」に Amazon Linux AMI 2/1 の影響を追加しました。
    • 「対策」に Amazon Linux AMI 2/1 のアドバイザリへのリンクを追加しました。

参照

  1. "important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)," The Apache Software Foundation, Oct 4, 2021.
  2. "critical: Path Traversal and Remote Code Execution in Apache HTTP Server 2.4.49 and 2.4.50 (incomplete fix of CVE-2021-41773) (CVE-2021-42013)," The Apache Software Foundation, Oct 7, 2021.
  3. 「Apache HTTP Server の脆弱性対策について(CVE-2021-41773)」, 情報処理推進機構, 2021年10月06日
  4. 「JVNVU#98852848 Apache HTTP Server 2.4における複数の脆弱性に対するアップデート」, Japan Vulnerability Notes, 2021年10月06日
  5. 「JPCERT-AT-2021-0043 Apache HTTP Serverのパストラバーサルの脆弱性(CVE-2021-41773)に関する注意喚起」 JPCERT/CC, 2021年10月06日
  6. "CVE-2021-41773," The Debian Project, Oct, 2021.
  7. "CVE-2021-41773," Canonical Ltd., Oct, 2021.
  8. "CVE-2021-41773," Red Hat Customer Portal, Oct 6, 2021.
  9. "CVE-2021-42013," The Debian Project, Oct, 2021.
  10. "CVE-2021-42013," Canonical Ltd., Oct, 2021.
  11. "CVE-2021-42013," Red Hat Customer Portal, Oct 7, 2021.


脆弱性からの組織防衛のために

あなたの組織で脆弱性が対策されていることを確認できますか? 弊社の継続的脆弱性管理ツール SIDfm VM は、管理対象のホストで使用するソフトウェアで新しく報告された脆弱性のピックアップを行い、影響判定や対策工程の把握まで、脆弱性管理をトータルでカバーいたします。

脆弱性の調査パッチ探しは一切不要!
脆弱性対策を自動化できるので工数大幅削減!
さらに自社の脆弱性状況を全て可視化できるので
管理がグッと楽になる!

それらを全て実現するサービスがあります。

脆弱性管理ツール「SIDfm™ VM」について詳 しくはこちらから

SIDfm VM での脆弱性管理の具体的なプロセス

定期セミナーご案内

  • 脆弱性対策セミナー

    【SIDfmを活用した対策】

    脆弱性の情報収集から対策すべきポイントを特定、優先順位づけ、そして対策後の管理など、専門家が脆弱性対策の全体像を整理し事例などを交えて解説します。

    お申込みはこちらへ
最新の記事

脆弱性と対策のことなら

SIDfm™

  • お問い合わせ

    SIDfm™ 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm™ の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる