読者です 読者をやめる 読者になる 読者になる

らっちゃいブログ

日々の学びと気づきを発信するブログ

Apache HTTPDに認証なしでコンテンツにアクセスできてしまう脆弱性

速報 脆弱性 apache

スポンサーリンク

Apacheにクライアント認証を設定していても認証なしでアクセスできてしまう脆弱性が見つかりました。

JVNVU#97485903: Apache HTTPD の HTTP/2 通信における X.509 クライアント証明書の認証処理の問題

影響を受けるバージョンは2.4.18 から 2.4.20 までになります。

これだけだと非常に影響範囲が広い事案となりますが、本件は HTTP/2 でのアクセスに限られるそうです。というわけで、影響するバージョンでHTTP/2とクライアント認証をご利用の方は最新バージョンにアップデートしましょう。

racchai.hatenablog.com

racchai.hatenablog.com

racchai.hatenablog.com