検出

Apache 2.4.x < 2.4.67 の複数の脆弱性

high Nessus プラグイン ID 311940

Language:

概要

リモートのウェブサーバーは複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Apache httpd のバージョンは、2.4.67 より前です。したがって、2.4.67 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Apache HTTP Server:mod_authn_socacheクラッシュ:Apache HTTP Server 2.4.66 以前のNullポインタデリファmod_authn_socacheレンスにより、認証されていないリモートユーザーがキャッシュフォワードプロキシ構成中の子プロセスをクラッシュさせることができます。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。
 謝辞:発見者:パヴェル・コウト、Aisle Research、Aisle.com(CVE-2026-33007年)

 - Apache HTTP Serverにおける不適切なヌル終端、アウトオブバウンド読み取りの脆弱性。この問題は、2.4.66 以前の Apache HTTP Server に影響を与えます。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-34032)

 - Apache HTTP 2.4.66 以前の各種モジュールにおける権限エスカレーションバグにより、ローカルの.htaccess作成者がhttpdユーザーの権限でファイルを読み取ることが可能になります。ユーザーには、この問題を修正したバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-24072)

 - Apache HTTP Serverのmod_proxy_ajpにおけるアウトオブバウンドリード脆弱性。この問題は、2.4.66 以前の Apache HTTP Server に影響を与えます。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。
 (CVE-2026-33857)

 - Apache HTTP Serverにおけるバッファオーバーリード脆弱性。この問題は、2.4.66 以前の Apache HTTP Server に影響を与えます。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-34059)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache バージョン 2.4.67 以降にアップグレードしてください。

プラグインの詳細

深刻度: High

ID: 311940

ファイル名: apache_2_4_67.nasl

バージョン: 1.3

タイプ: Combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2026/5/4

更新日: 2026/5/5

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2026-33007

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2026-24072

脆弱性情報

CPE: cpe:/a:apache:http_server, cpe:/a:apache:httpd

必要な KB アイテム: installed_sw/Apache

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/4

脆弱性公開日: 2025/12/10

参照情報

CVE: CVE-2026-23918, CVE-2026-24072, CVE-2026-28780, CVE-2026-29168, CVE-2026-29169, CVE-2026-33006, CVE-2026-33007, CVE-2026-33523, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059