Japan

サイト内の現在位置

Apache HTTP Server 2.4における複数の脆弱性に対するアップデート

掲載番号:NV22-010
脆弱性情報識別番号:JVNVU#99602154

概要

Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.53が公開されました。

・mod_luaのr:parsebodyにおける、不適切な初期化の脆弱性 - CVE-2022-22719
・HTTP Request Smuggling攻撃が可能になる脆弱性 - CVE-2022-22720
・LimitXMLRequestBodyにて32ビットシステム上で350MBを超えるリクエストボディを受け付けるように設定されている場合(デフォルトは1MB)の整数オーバーフローまたはラップアラウンドの脆弱性 - CVE-2022-22721
・mod_sedにおける、整数オーバーフローまたはラップアラウンドおよび境界外書き込みの脆弱性 - CVE-2022-23943

対象製品

SpoolServer/ReportFiling

対象となる製品のバージョン

該当するバージョンのApache HTTP Server環境を使用している場合

対処方法

Apache HTTP Serverを対策済みのバージョンへアップデートしてください。

WebOTX

対象となる製品のバージョン

CVE-2022-22719、CVE-2022-22720、CVE-2022-23943
 WebOTX Application Server Express V9.3~V10.4
 WebOTX Application Server Standard V9.3~V10.4
 WebOTX Application Server Enterprise V9.3~V9.6
 (※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3、WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

CVE-2022-22721
 WebOTX Application Server Express V9.3、V9.4
 WebOTX Application Server Standard V9.3、V9.4
 WebOTX Application Server Enterprise V9.3、V9.4
 (※)WebOTX Enterprise Service Bus V9.3、WebOTX Portal V9.3にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のページを参照して、パッチを適用してください。
https://www.support.nec.co.jp/View.aspx?id=3010103850

WitchyMail

対象となる製品のバージョン

Apache HTTP Server 2.4.52以前のバージョンを利用している場合

対処方法

Apache HTTP Serverを対策済みのバージョンへアップデートしてください。

CONNEXIVE Application Platform

対象となる製品のバージョン

CONNEXIVE Application Platform V2.0(CVE-2022-22720のみ)

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254

IoT共通基盤

対象となる製品のバージョン

IoT基盤サービス移行専用ライセンス(CVE-2022-22720のみ)

対処方法

以下を参照して対処を実施してください。
https://support.pf.nec.co.jp/View.aspx?id=9010110254

CONNEXIVE PF

対象となる製品のバージョン

V7.0(アプリケーション実行基盤として利用しているWebOTXが脆弱性の影響を受けるため)

対処方法

以下を参照して、WebOTX Application Serverの対処を実施してください。
https://www.support.nec.co.jp/View.aspx?id=3010103850

ActSecureポータル

対象となる製品のバージョン

すべてのバージョン

対処方法

2022年11月のアップグレードにて対応済みです。
※ActSecureポータルをご利用の方は、対処不要です。

参考情報

JVNVU#99602154
https://jvn.jp/vu/JVNVU99602154/index.html

Apache HTTP Server 2.4.53 Released
https://downloads.apache.org/httpd/Announcement2.4.html

Fixed in Apache HTTP Server 2.4.53
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.53

更新情報

2023/03/27
ActSecureポータル を登録しました。
2022/12/09
CONNEXIVE Application Platform, IoT共通基盤, CONNEXIVE PF を登録しました。
2022/09/22
WitchyMail を登録しました。
2022/08/05
SpoolServer/ReportFiling, WebOTX を登録しました。