2024年4月に発表された脆弱性への対処を行います。
脆弱性内容
- Apache HTTP Serverのコア機能におけるHTTPレスポンス分割の問題(CVE-2023-38709)
- 複数のモジュールにおけるHTTPレスポンス分割の問題(CVE-2024-24795)
- HTTP/2 CONTINUATIONフレームの検証不備に起因したメモリ枯渇の問題(CVE-2024-27316)
https://jvn.jp/vu/JVNVU99032532
環境
- Ubuntu 20.04 および Ubuntu 22.04
- Apache 2.4系を利用
Apacheのレポジトリを追加します。
sudo add-apt-repository ppa:ondrej/apache2
Apacheのバージョンアップを行います。
- パッケージ全体のアップデート
sudo aptitude update
- パッケージのアップグレード
sudo aptitude upgrade
このリストの中にapache2とapache2関連パッケージが更新される(2024/04/10現在)ため、それぞれアップグレードを行います。
バージョンアップを確認します。
apache2ctl -v
Apache/2.4.59
以降であることを確認します。2.4.58には、http/2プロトコルへの脆弱性があるので、左記のバージョンであることを確認します。
対応を行った日付
2024/04/10