掲載番号:NV23-003
脆弱性情報識別番号:JVNVU#99928083

概要

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.55が公開されました。
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

攻撃者によって、プロセスをクラッシュされる - CVE-2006-20001
攻撃者によって、悪意のあるリクエストをAJPサーバに転送される - CVE-2022-36760
悪意のあるバックエンドによって、レスポンスヘッダを切り捨てられる - CVE-2022-37436

対象製品

ReportFiling

対象となる製品のバージョン

該当するApache HTTP Server環境を使用しているすべてのバージョン

対処方法

Apache HTTP Serverをバージョンアップしてください。

得選街・GCB

対象となる製品のバージョン

2.4.6

対処方法

最新バージョンで対応しています。

WebOTX

対象となる製品のバージョン

・WebOTX Application Server Express V9.3～V11.1
・WebOTX Application Server Standard V9.3～V11.1
・WebOTX Application Server Enterprise V9.3～V9.6
・WebOTX Application Server Standard Extended Option V11.1

(※)WebOTX Enterprise Service Bus V9.3、V10.1、V10.3
 　 WebOTX Portal V9.3、V10.1、V10.4にバンドルされているWebOTX Application Server Expressを使用している場合にも該当します。

対処方法

以下のサイトを参照ください。
https://www.support.nec.co.jp/View.aspx?id=3010104167

参考情報

Fixed in Apache HTTP Server 2.4.55
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.55

Apache HTTP Server 2.4.55 Released
https://downloads.apache.org/httpd/Announcement2.4.html

JVNVU#99928083
https://jvn.jp/vu/JVNVU99928083/index.html

Debian
https://security-tracker.debian.org/tracker/CVE-2006-20001
https://security-tracker.debian.org/tracker/CVE-2022-36760
https://security-tracker.debian.org/tracker/CVE-2022-37436

Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2006-20001
https://access.redhat.com/security/cve/CVE-2022-36760
https://access.redhat.com/security/cve/CVE-2022-37436

Ubuntu
https://ubuntu.com/security/CVE-2006-20001
https://ubuntu.com/security/CVE-2022-36760
https://ubuntu.com/security/CVE-2022-37436

SUSE/openSUSE
https://www.suse.com/security/cve/CVE-2006-20001.html
https://www.suse.com/security/cve/CVE-2022-36760.html
https://www.suse.com/security/cve/CVE-2022-37436.html

更新情報