Debian dla-4270apache2 - セキュリティ更新
critical Nessus プラグイン ID 249166
Language:
概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。説明
リモートのDebian 11ホストには、dla-4270アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。- -------------------------------------------------- -------------------------- Debian LTS アドバイザリ DLA-4270-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 8 月 12 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
パッケージ apache2 バージョン 2.4.65-1~deb11u1 CVE ID CVE-2024-42516 CVE-2024-43204 CVE-2024-43394 CVE-2024-47252 CVE-2025-23048 CVE-2025-49630 CVE-2025-49812 CVE-2025-53020 CVE-2025-54090
広く使用されている Web サーバーである Apache で複数の脆弱性が対処されています。
注意この DLA に含まれる CVE-2025-23048の修正により、一部の SSL が有効化された Web サイトでエラー AH02032が発生する可能性があります。
詳細については、このアドバイザリの最後に記載されています。
CVE-2024-42516
Apache HTTP Server のコアでの HTTP 応答分割により、サーバーによってホストまたはプロキシされているアプリケーションの Content-Type 応答ヘッダーを操作できる攻撃者が、HTTP 応答を分割できます
CVE-2024-43204
mod_proxy がロードされた Apache HTTP Server で、SSRFサーバーサイドリクエスト偽造が見つかりました。これにより、攻撃者は、攻撃者がコントロールしている URL にアウトバウンドプロキシリクエストを送信することができます。
この攻撃には、mod_headers が HTTP リクエストで提供される値で Content-Type リクエストまたは応答ヘッダーを変更するように構成されている、可能性が低い構成が必要です。
CVE-2024-43394
Windows上のApache HTTP ServerのサーバーサイドリクエストフォージェリSSRFにより、未検証のリクエスト入力を渡すmod_rewriteまたはapache式を介して、悪意のあるサーバーにNTLMハッシュが漏えいする可能性があります。
CVE-2024-47252
mod_ssl のユーザー指定データのエスケープが不十分なため、信頼できない SSL/TLS クライアントが、一部の構成のログファイルにエスケープ文字を挿入する可能性があります。CustomLog が %{varname}x または %{varname}c で使用され、SSL_TLS_SNI などの mod_ssl によって提供された変数をログに記録するロギング構成では、mod_log_config または mod_ssl のいずれかによってエスケープは実行されず、クライアントから提供されたサニタイズされていないデータがログファイルに表示される可能性があります。
CVE-2025-23048
TLS 1.3 セッション再開を使用して、信頼できるクライアントによるアクセスコントロールのバイパスが可能です。mod_ssl が複数の仮想ホストに対して設定され、それぞれが異なる信頼できるクライアント証明書のセット (例えば異なる SSLCACertificateFile/Path 設定) に制限されている場合、設定は影響を受けます。
このような場合、ある仮想ホストへのアクセスが信頼されているクライアントが、いずれかの仮想ホストでも SSLStrictSNIVHostCheck が有効化されていない場合、別の仮想ホストへアクセスできる可能性があります。
CVE-2025-49630
特定のプロキシ構成では、信頼できないクライアントによって Apache HTTP Server に対する DoS 攻撃サービス拒否攻撃がトリガーされ、mod_proxy_http2 でアサーションが引き起こされます。影響を受ける構成は、ProxyPreserveHost がオンに設定されている、HTTP/2 バックエンドに対して構成されているリバースプロキシです。
CVE-2025-49812
Apache HTTPサーバー上の一部のmod_ssl構成では、HTTPの逆同期攻撃により、中間にいる攻撃者がTLSアップグレードを介してHTTPセッションをハイジャックする可能性があります。TLS アップグレードを有効にするためにオプションの SSLEngine を使用する設定のみが影響を受けます。
TLS アップグレードのサポートが削除されました。
CVE-2025-53020
Apache HTTPサーバーで、有効有効期間以降のメモリ有効期限の脆弱性の脆弱性が、Apache HTTPサーバーで見つかりました。
CVE-2025-54090
Apache HTTP サーバー 2.4.64 のバグにより、true として評価されるすべての RewriteCond expr ... テストが発生します
Debian 11 Bullseyeでは、これらの問題はバージョン2.4.65-1~deb11u1で修正されました。
注意 CVE-2025-23048の解決策に従い、一部の SSL が有効化された Web サイトでエラーが発生し始める可能性がありますAH02032
誤ったダイレクトされたリクエスト
リクエストされたホスト名が、この接続に使用されている Server Name IndicationSNI と一致しないため、クライアントはこのリクエストに新しい接続を必要とします。
この動作は、AWS Application Load Balancer で特に顕著です。インテリジェントな SNI 処理をサポートしますが、これを書いている時点ではSNI データをターゲットサーバーにリレーしません。このため、ホスト名が整列されていない場合、接続に失敗します。
クライアントによって提供された SNI がない場合、複数の vhost が同じ IP:port でリッスンするときは、httpd は常に、正しい証明書および最終的に TLS 認証を提供するために使用する vhost/configuration を決定するために、何もすることができません。
これは、HTTP ホストヘッダーの読み取りは、必ず TLS ハンドシェイク / 認証 / 復号化の後に行われなければならないためです (また、TLSv1.3 ではその後の再ネゴシエーションは選択できません)。
そのため、これらの接続は TLS ハンドシェイク部分用の IP:port で宣言されている最初の vhost にフォールバックし、リクエスト Host ヘッダーが異なる TLS 構成を持つ別の vhost と最終的に一致した場合は、 AH02032で拒否されます。
2.4.64 より前のチェックは正確ではなく、セキュリティ上の問題を解決します。
回避策として、リスク分析後にワイルドカード証明書を生成することができます。複数のドメインを管理している場合、各ワイルドカードドメインをエイリアスとして含めることで、それらを 1 つの証明書に統合します。次に、この統合証明書を参照するように Apache 設定を更新します。
もう 1 つの回避策は、個別のポートでリッスンするように各仮想ホストを設定することです。このアプローチは、各 vhost が独自の接続エンドポイントで一意に対処されるようにすることで SNI 関連の問題を回避します。これにより、不明瞭でない TLS 設定が可能になります。
このエラーは、不適切な HAProxy セットアップに起因する場合もあります。
このような場合、TLS ハンドシェイク中に正しいホスト名がパススルーされるように、HAProxy で動的 SNI 処理を有効にする必要があるかもしれません。リスク分析の後、これは sni req.hdr(Host) ディレクティブを使用して行われます。
お使いの apache2 パッケージをアップグレードすることを推奨します。
apache2 の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/apache2
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
apache2 パッケージをアップグレードしてください。参考資料
https://security-tracker.debian.org/tracker/source-package/apache2
https://security-tracker.debian.org/tracker/CVE-2024-42516
https://security-tracker.debian.org/tracker/CVE-2024-43204
https://security-tracker.debian.org/tracker/CVE-2024-43394
https://security-tracker.debian.org/tracker/CVE-2024-47252
https://security-tracker.debian.org/tracker/CVE-2025-23048
https://security-tracker.debian.org/tracker/CVE-2025-49630
https://security-tracker.debian.org/tracker/CVE-2025-49812
https://security-tracker.debian.org/tracker/CVE-2025-53020
プラグインの詳細
深刻度: Critical
ID: 249166
ファイル名: debian_DLA-4270.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Debian Local Security Checks
公開日: 2025/8/12
更新日: 2025/8/12
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 9.4
現状値: 7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2025-23048
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:apache2-bin, p-cpe:/a:debian:debian_linux:libapache2-mod-md, p-cpe:/a:debian:debian_linux:libapache2-mod-proxy-uwsgi, p-cpe:/a:debian:debian_linux:apache2-doc, p-cpe:/a:debian:debian_linux:apache2-suexec-custom, p-cpe:/a:debian:debian_linux:apache2, p-cpe:/a:debian:debian_linux:apache2-dev, p-cpe:/a:debian:debian_linux:apache2-data, p-cpe:/a:debian:debian_linux:apache2-suexec-pristine, p-cpe:/a:debian:debian_linux:apache2-utils, p-cpe:/a:debian:debian_linux:apache2-ssl-dev
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/8/12
脆弱性公開日: 2025/7/8
参照情報
CVE: CVE-2024-42516, CVE-2024-43204, CVE-2024-43394, CVE-2024-47252, CVE-2025-23048, CVE-2025-49630, CVE-2025-49812, CVE-2025-53020, CVE-2025-54090
IAVA: 2025-A-0508-S, 2025-A-0547