IPA/「Apache HTTP Server」におけるディレクトリ・トラバーサルの脆弱性

2021年10月14日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021 年 10 月 8 日に「『Apache HTTP Server』におけるディレクトリ・トラバーサルの脆弱性」を、JVN(Japan VulnerabilityNotes)において公表しました。

◆概要
・The Apache Software Foundation が提供する「Apache HTTP Server」は、ウェブサーバ用のプログラムです。
・「Apache HTTP Server」には、ディレクトリ・トラバーサルの脆弱性が存在します。
・遠隔の第三者によって、ドキュメントルート外に置かれた「require all denied」で保護されていないファイルにアクセスされる可能性があります。さらに、CGI スクリプトが有効な場合、任意のコードを実行される可能性があります。
・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2021 年 10 月 6 日に IPA が届出を受け、JPCERT/CC が、製品開発者と調整を行ない、10 月 8 日に公表したものです。

◆詳細については、こちらをご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#51106450」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。