Apache 「mod_lua」モジュール脆弱性のWebサイトへの影響と対策を解説 (CVE-2021-44790)

こんにちは。「クロジカサーバー管理」プリセールスの高瀬です。

2022年1月にApache HTTP Serverについて脆弱性(CVE-2021-44790)が発表されました。

悪用されるとバッファオーバーフローを引き起こされる可能性があり、Redhat社からは2番目に重要度の高いImportant Impact と発表されています。

https://access.redhat.com/security/cve/CVE-2021-44790

WebシステムなどでLuaスクリプトを利用していて今回の脆弱性を悪用されると、最悪の場合バッファオーバーフローによってサーバーを乗っ取られてしまう可能性もあります。

脆弱性の対象となるバージョン

影響を受けるバージョンは Apache HTTP Server 2.4.51 およびそれ以下のバージョン、と発表されています。

https://nvd.nist.gov/vuln/detail/CVE-2021-44790

脆弱性の対策

Amazon LinuxやRedhatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。

■ Amazon Linux 2

https://alas.aws.amazon.com/AL2/ALAS-2022-1737.html

■ Red Hat Enterprise Linux Server 7

https://access.redhat.com/errata/RHSA-2022:0143

Webサイトへの影響について

WordPressならPHP、MovebleTypeならPHP+Perl、といったようにCMSやWebサイトでLuaを使っているケースは多くありません。

ただし、Redhat系のLinuxの標準パッケージでApacheをインストールしている場合は初期状態のままでmod_luaが有効になっている可能性があります。

Luaスクリプトを使っていないようであれば本脆弱性単体による影響は基本ありませんが、.htaccess の設定で AddHandler を追加すればLuaスクリプトを実行できるようになるため、Webシステムの開発などを委託している場合は開発元にも影響を確認することをお勧めします。

さいごに

Apacheは古くから多くのWebサーバーで使われており、性能面でNginxの人気が高くなっても .htaccess による手軽な設定変更などでまだまだデファクトスタンダードの一つとなっています。

利用していないプラグインを全て無効化している環境であれば問題ありませんが、Apache

インストール時に標準で有効化されているものはそのまま、という環境も少なからずあるのではないでしょうか。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトクラウドでセキュアに

コーポレートサイトをクラウドでセキュアに クロジカガイドブック

無料ではじめるサーバー管理
クロジカガイドブック

「クロジカサーバー管理」の詳しい内容がわかる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • クロジカサーバー管理の主な機能
  • 導入事例
  • 導入までの流れ

詳しい資料をご覧いただけます

クロジカサーバー管理のサービス内容を記載した資料をダウンロードできます。
クロジカの機能や事例が分かる
資料ダウンロード