【SBT脆弱性調査レポート】脆弱性(CVE-2019-0211)に関する調査レポート公開

~Apache HTTP Serverの脆弱性により、権限昇格可能な脆弱性の再現性を検証~


ソフトバンク・テクノロジー株式会社

ソフトバンク・テクノロジー株式会社(本社:東京都新宿区、代表取締役社長 CEO:阿多 親市)は、脆弱性CVE-2019-0211を利用した攻撃の再現性について検証を行い、調査レポートを公開しましたのでお知らせします。

該当の脆弱性については、本レポート作成(2019年4月25日)時点において、Apache Software Foundationより、この脆弱性が修正されたバージョンがリリースされております(2019年4月1日付)。しかしながら、攻撃が容易であり、かつ攻撃コードも公開されていること、また攻撃を受けた際にシステムへの影響が大きいこと、加えてHTTP Serverとしてシェアが大きいApache HTTP Serverがターゲットであることから、クリティカルな脆弱性として、当社セキュリティリサーチグループにおいて再現性の検証を行いました。

【概要】

Apache HTTP Serveに、ローカルから権限昇格を行える脆弱性(CVE-2019-0211)及び、その脆弱性を利用する攻撃コードが発見されました。この脆弱性はApache HTTP Serverが再起動を行う際に、子プロセスの境界値チェックが行われていないことにより発生します。これにより、システム上で権限昇格を行うことが可能となります。

攻撃者がこの脆弱性を利用するためには、システムへの有効なログオン情報が必要になります。
Apache HTTP Serverの親プロセスがroot権限で動作しているシステムにおいて、攻撃者が何らかの方法でシステムの一般ユーザーでのアクセス権を獲得した場合、この脆弱性を利用することで管理者権限を掌握される可能性があります。その結果、管理者権限でシステムを操作し、重要情報の改ざん、窃取されてしまうといった危険性があります。
また、脆弱性の影響を受けるApache HTTP Serverを利用している共有ホスティングサービスにおいては、ホスティングを利用するユーザーがこの脆弱性を利用することにより、ホスティングサービスを利用する他のユーザーも侵害を受ける可能性があります。

【影響を受ける可能性があるシステム】

・Apache HTTP Server 2.4.17から2.4.38までのバージョン

【対策案】

本レポート作成(2019年4月25日)時点において、Apache Software Foundationより、この脆弱性を修正するバージョンがリリースされています。当該脆弱性が修正されたバージョンへとアップグレードしていただくことを推奨いたします。

▼詳細はこちらをご覧ください。
https://www.softbanktech.co.jp/special/cve/2019/0001/

本件に関する報道機関からの問い合わせ先

○ソフトバンク・テクノロジー株式会社 経営企画部 コーポレートコミュニケーショングループ
Tel:03-6892-3063 / Mail:sbt-pr@tech.softbank.co.jp