Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Apache HTTPD」に脆弱性 - 「同2.4.23」にて修正

「Apache HTTP Server」において、「X.509クライアント証明書」の認証処理に問題があることがわかった。最新版では脆弱性が解消されている。

脆弱性情報のポータルサイトであるJVNによれば、問題の脆弱性「CVE-2016-4979」は、「HTTP/2」通信に存在。「同2.4.17」より実装されたモジュール「mod_http2」は実験的なものであり、デフォルトではコンパイルされず、初期設定でも「HTTP/2」による通信が無効であるため、クライアント証明書の検証結果が考慮されないという。

Apache Software Foundationでは、同脆弱性を最新のGA(General Availability)版となる「同2.4.23」にて修正。セキュリティ機関などとともに、最新版へアップデートするよう利用者へ注意を呼びかけている。

(Security NEXT - 2016/07/07 ) このエントリーをはてなブックマークに追加

PR

関連記事

SonicWall製品のVPNに深刻な脆弱性 - 約80万台に影響か
「VMware Horizon」のクライアントにサービス拒否の脆弱性
Linuxに脆弱性「BleedingTooth」が判明 - 近接環境からコード実行のおそれ
MS、定例外で2件のアップデートをリリース
「phpMyAdmin」に「SQLi」や「XSS」の脆弱性
AMDのオーバークロックソフトやグラフィックドライバに脆弱性
eコマースプラットフォーム「Magento」に複数の深刻な脆弱性
パロアルト製品に複数の脆弱性 - 深刻なRCE脆弱性も
QNAP製NASのアプリに深刻な脆弱性 - アップデートがリリース
「Outlook」にRCE脆弱性 - プレビューだけで悪用のおそれ