Apache の重大な脆弱性について、Webサイトへの影響と対策を解説します(CVE-2022-22720)

こんにちは。「SiteCloud」プリセールスの高瀬です。

2022年3月にApache HTTP Serverについて重大な脆弱性(CVE-2022-22720)が発表されました。

悪用されるとHTTPリクエスト・スマグリング攻撃を引き起こされる可能性があり、アメリカ国立標準技術研究所の脆弱性データベースでは危険度がCriticalとなっています。

https://nvd.nist.gov/vuln/detail/CVE-2022-22720

Apacheで稼働しているWebシステムなどで今回の脆弱性を悪用されると、攻撃者以外のユーザーのリクエストを意図しないものに書き換えられてしまう可能性があります。

脆弱性の対象となるバージョン

影響を受けるバージョンは Apache HTTP Server 2.4.52 およびそれ以下のバージョン、と発表されています。

https://nvd.nist.gov/vuln/detail/CVE-2022-22720

脆弱性の対策

Amazon LinuxやRedhatを利用している場合は、OS提供元が公開している修正版のhttpdおよび関連パッケージを確認して適用する形になります。他のOSの場合も提供元の発表を確認することをお勧めします。

■ Amazon Linux 2

https://alas.aws.amazon.com/AL2/ALAS-2022-1783.html

■ Red Hat Enterprise Linux Server 7

https://access.redhat.com/errata/RHSA-2022:1045

■ Red Hat Enterprise Linux Server 8

https://access.redhat.com/errata/RHSA-2022:1049

Webサイトへの影響について

2022年4月時点ではアメリカ国立標準技術研究所の脆弱性データベースでエラー発生時に受け付けたリクエストの破棄に失敗すること以上の詳細は発表されておらず、構成による影響有無などは判断が難しい状況です。

一般的にHTTPリクエスト・スマグリング攻撃では攻撃者が細工したリクエストを行うことで、他ユーザーのリクエスト時に不正な処理を実行させることが可能と言われています。

コメント機能など、ユーザーのリクエストが反映されるサイトやCMSなどの管理画面にアクセス制限をかけていないサイトでは特に注意が必要と思われます。

さいごに

Apacheは古くから多くのWebサーバーで使われており、性能面でNginxの人気が高くなっても .htaccess による手軽な設定変更などでまだまだデファクトスタンダードの一つとなっています。

利用していないプラグインを全て無効化している環境であれば問題ありませんが、Apache

インストール時に標準で有効化されているものはそのまま、という環境も少なからずあるのではないでしょうか。

弊社ではお客様サーバーのご利用状況に応じて、エンジニアが日々発表される脆弱性の影響有無を確認して、必要に応じて修正パッケージの適用を行なっております。

サイト制作、運用が多忙でサーバーソフトの脆弱性対策を行うことが難しい場合はぜひご相談くださいませ。

コーポレートサイトをクラウドでセキュアに

SiteCloudガイドブック

「SiteCloud」の詳しい内容が分かる資料をご用意しました。
  • コーポレートサイト構築・運用の課題を解決
  • SiteCloudの主な機能
  • 導入事例
  • 導入までの流れ

関連する解決策

最新記事

タグ

詳しい資料をご覧いただけます

    サイバーの鎧のサービス内容を記載した資料をダウンロードできます。
             

【無料診断実施中】サーバーセキュリティ診断

経験豊富なセキュリティ専門技術者が、サーバーの状況を診断して、分かりやすい診断結果と今後の対応策をご覧いただけます。

無料サーバー診断申し込み
close