「Apache HTTP Web Server」脆弱性アップデート(複数モジュールにDoSなど5件)
概要
The Apache Software Foundation から、Apache HTTP Web Server に関するサービス運用妨害(DoS)などの複数の脆弱性に対する情報がアップデートされ公開されました。
- JVNVU#98416507 Apache HTTP Web Server における複数の脆弱性に対するアップデート
- 「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性
影響を受けるバージョン
この脆弱性で影響が受けるバージョンは以下となります
| 脆弱性 | バージョン |
| CVE-2017-3167, CVE-2017-3169, CVE-2017-7679 | Apache HTTP Web Server 2.2.0 から 2.2.32 |
| CVE-2017-7668) | Apache HTTP Web Server 2.2.32 |
| CVE-2017-3167, CVE-2017-3169, CVE-2017-7679 | Apache HTTP Web Server 2.4.0 から 2.4.25 |
| CVE-2017-7659, CVE-2017-7668 | Apache HTTP Web Server 2.4.25 |
脆弱性の内容
The Apache Software Foundation から、Apache HTTP Web Server に関して公開されている脆弱性の内容は以下となります
| CVE-2017-3167 | ap_get_basic_auth_pw()における認証回避の脆弱性 |
| CVE-2017-3169 | mod_ssl における NULL ポインタ参照の問題 |
| CVE-2017-7659 | mod_http2 における NULL ポインタ参照の問題 |
| CVE-2017-7668 | ap_find_token() におけるバッファオーバーリードの脆弱性 |
| CVE-2017-7679 | mod_mime におけるバッファオーバーリードの脆弱性 |
脆弱性の対策
アップデートまたはパッチを適用すると脆弱性の対策が実施されます。
2.4系は最新版に2.4.26 がリリースされていますので、そちらにアップデートします
2.4系の最新版は 「httpd-2.4.26.tar.gz」
2.2 系では、2017年06月20日時点でアップデートはリリースされていませんが、各脆弱性に対応したパッチがリリースされているのでパッチを適用します
2.2系はパッチは「Security and official patches」の箇所にありました。そちらよりパッチをダウンロードしてパッチを当てます
1.「/usr/local/src」に移動します
2.Apache本体及びパッチをダウンロードします
- 「httpd-2.2.32.tar.gz」
- 「CVE-2017-3167.patch」
- 「CVE-2017-3169.patch」
- 「CVE-2017-7668.patch」
- 「CVE-2017-7679.patch」
# cd /usr/local/src # wget http://ftp.yz.yamagata-u.ac.jp/pub/network/apache//httpd/httpd-2.2.32.tar.gz # wget http://ftp.riken.jp/net/apache//httpd/patches/apply_to_2.2.32/CVE-2017-3167.patch # wget http://ftp.riken.jp/net/apache//httpd/patches/apply_to_2.2.32/CVE-2017-3169.patch # wget http://ftp.riken.jp/net/apache//httpd/patches/apply_to_2.2.32/CVE-2017-7668.patch # wget http://ftp.riken.jp/net/apache//httpd/patches/apply_to_2.2.32/CVE-2017-7679.patch
3.Apache本体を解凍します
# tar xzvf httpd-2.2.32.tar.gz
4.CVE-2017-3167.patchのパッチをあてます
# cd /usr/local/src/httpd-2.2.32/ # patch -p0 < ../CVE-2017-3167.patch patching file include/ap_mmn.h patching file include/http_protocol.h patching file server/protocol.c patching file server/request.c
5.CVE-2017-3169.patchのパッチをあてます
# cd /usr/local/src/httpd-2.2.32/ # patch -p0 < ../CVE-2017-3169.patch patching file modules/ssl/ssl_engine_io.c
6.CVE-2017-7668.patchのパッチをあてます
# cd /usr/local/src/httpd-2.2.32/ # patch -p0 < ../CVE-2017-7668.patch patching file server/util.c
7.CVE-2017-7679.patchのパッチをあてます
# cd /usr/local/src/httpd-2.2.32/ # patch -p0 < ../CVE-2017-7679.patch patching file modules/http/mod_mime.c
8.configure → make → make installと順番におこないます
# cd /usr/local/src/httpd-2.2.32/ # ./configure # make # make install