バナーによると、リモートホストで実行している Apache のバージョンは、2.4.18 または 2.4.20 です。さらに、HTTP/2 が TLS または SSL を介して有効になります。このため、X.509 証明書を適切に検証しないため、HTTP/2 プロトコルの実験的なモジュールにある認証バイパスの脆弱性の影響を受けます。これにより、本来ならアクセスが許可されなかったリソースにアクセスすることが可能です。認証されていないリモート攻撃者がこれを悪用し、秘密情報を漏洩させる可能性があります。

Apache Software Foundation による報告：

Apache HTTPD Web サーバー（2.4.18-2.4.20 以降）は、リソースにアクセスするために HTTP/2 プロトコルの実験的モジュールが使用された場合に X509 クライアント証明書を正しく検証していませんでした。

その結果、アクセスを得るためには有効なクライアント証明書が必要なリソースが、認証情報なしでアクセスされる可能性があります。

リモートのMiracleLinux 7ホストには、AXSA:2016-572:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    Apache HTTP サーバーは、強力かつ効率的で拡張性のある Web サーバーです。
    このリリースで修正されたセキュリティ問題
    CVE-2016-49792.4.18 から 2.4.20までの Apache HTTP Server は、mod_http2 および mod_ssl が有効のとき、HTTP/2 リクエスト承認のための SSLVerifyClient 必要ディレクティブを適切に認識しません。これにより、リモートの攻撃者が、複数のメッセージを送信する機能を利用することで、意図されたアクセス制限をバイパスすることができます。単一接続を介してリクエストを送信し、再ネゴシエーションを中止する可能性があります。
    CVE-2016-5387
    **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

CVE-2016-4979 に対するセキュリティ修正

注意：Tenable Network Security は、前述の説明ブロックを Fedora 更新システム Web サイトから直接抽出しています。
Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

リモートホストが、GLSA-201610-02（Apache ：複数の脆弱性）で説明されている脆弱性に影響されています。複数の脆弱性がApache HTTP Serverで見つかっています。詳細については、以下に記載されているCVE識別番号を参照してください。影響：リモートの攻撃者は、意図したアクセス制限をバイパスしたり、HTTP要求の密輸攻撃を実行したり、サービス拒否状態を引き起こしたりする可能性があります。回避策：現時点では、既知の回避策はありません。

リモートのMiracleLinux 4ホストには、AXSA:2016-567:01アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    Apache HTTP サーバーは、強力かつ効率的で拡張性のある Web サーバーです。
    このリリースで修正されたセキュリティ問題
    CVE-2016-49792.4.18 から 2.4.20までの Apache HTTP Server は、mod_http2 および mod_ssl が有効のとき、HTTP/2 リクエスト承認のための SSLVerifyClient 必要ディレクティブを適切に認識しません。これにより、リモートの攻撃者が、複数のメッセージを送信する機能を利用することで、意図されたアクセス制限をバイパスすることができます。単一接続を介してリクエストを送信し、再ネゴシエーションを中止する可能性があります。
    CVE-2016-5387
    **予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
98909	Apache 2.4.18/2.4.20 X.509 の証明書認証バイパス	Web App Scanning	Component Vulnerability	2019/1/9	2023/3/14	high
91949	FreeBSD：apache24 -- X509 Client 証明書ベースの認証が、HTTP/2 の使用時にバイパスされる可能性があります（e9d1e040-42c9-11e6-9608-20cf30e32f6d）	Nessus	FreeBSD Local Security Checks	2016/7/6	2021/1/4	high
92320	Apache 2.4.18/2.4.20 X.509 の証明書認証バイパス	Nessus	Web Servers	2016/7/15	2022/4/11	high
289757	MiracleLinux 7httpd24-httpd-2.4.18-11.el7AXSA:2016-572:01	Nessus	Miracle Linux Local Security Checks	2026/1/16	2026/1/16	high
92289	Fedora 24：httpd（2016-c7288a5b36）	Nessus	Fedora Local Security Checks	2016/7/15	2026/2/2	high
92334	Fedora 23：httpd（2016-e256a03791）	Nessus	Fedora Local Security Checks	2016/7/18	2026/2/2	high
93903	GLSA-201610-02：Apache：複数の脆弱性	Nessus	Gentoo Local Security Checks	2016/10/7	2026/1/22	high
289476	MiracleLinux 4httpd24-httpd-2.4.18-11.AXS4AXSA:2016-567:01	Nessus	Miracle Linux Local Security Checks	2026/1/16	2026/1/16	high

検出

プラグインの検索

high

high

high

high

high

high

high

high