Apache は、世界で広く使われている Web サーバソフトウェアですが、何度も悪名高い脆弱性の犠牲になってきました。 これらの脆弱性により、サーバーは様々な形の悪意ある攻撃や、情報の盗難や損失につながるその他のインターネット詐欺に遭いやすくなっています。 Apache は定期的に脆弱なバージョンのアップデートをリリースしていますが、以下の Apache の脆弱性は、ユーザーに危険を及ぼす可能性があるとして悪名を馳せています。
Apache OpenMeetings バージョン 1.0.0 は、SQL インジェクションの脆弱性 (CVE-2017-7681) があり、情報開示につながる危険性があることが判明しました。 本脆弱性を悪用するには、コマンドライン、デスクトップセッション、Web インターフェースなど、システムにログインする必要があります。
OpenMeetings は、最も人気のある仮想会議ソフトウェアの 1 つで、オンライン プレゼンテーション、オンライン トレーニング、Web 会議、およびユーザーのデスクトップ共有に広く使用されています。 その広範な使用により、既存のクエリの構造と、バックエンドのアプリケーションによって作成される他のクエリの構造が漏れるリスクがあります。
直ちに対処するには、Apache OpenMeetings 3.3.0 にアップグレードします。
Web サイト (カスタム コードまたは CMS) のセキュリティ ソリューションを探しているなら、Astra Firewall が XSS、LFI、RFI、SQL インジェクション、不良ボット、その他の 80 以上の脅威から 24×7 サイトを保護します。 今すぐAstra Demoを取る。
Apache Ranger Security Bypass Vulnerability
Apache Rangerは、セキュリティバイパスの脆弱性(CVE-2017-7676)が発生しやすい状態にあります。 その結果、攻撃者はこの問題を悪用して、特定のセキュリティ制限を回避し、不正なアクションを実行することができ、さらなる攻撃を助長する可能性があります。 これにより、ポリシーリソースマッチャーが ‘*’ ワイルドカード文字以降の文字を無視し、結果として、影響を受けるポリシーが適用されるべきでないリソースに適用されます
Apache Ranger は、Hadoop プラットフォーム全体で包括的にデータセキュリティを実現、監視、管理するために広く使用されるフレームワークです。 深刻度は低いと判断されましたが、事実上 このセキュリティ回避の脆弱性は、Ranger のバージョン 0.5.1 から 0.7 に影響します。 5735>
Apache HTTP Server Authentication Bypass Vulnerability
Apache HTTP Server CVE-2017-3167 Authentication Bypass Vulnerabilityにより、攻撃者は認証メカニズムをバイパスして不正な動作を行い、さらなる攻撃につながる可能性があります。 本脆弱性の影響を受けるバージョンは、Apache HTTP Server 2.2.0 から 2.2.32 および Apache HTTP Server 2.4.0 から 2.4.25
この脆弱性は、Apache HTTP サーバの ap_get_basic_auth_pw() 関数が、影響を受けるソフトウェアの認証フェーズ以外のサードパーティ モジュールによって不正使用されていることから生じています。
安全策としては、固定バージョンへのアップデート、信頼できるユーザーのみのネットワークアクセス、信頼できるシステムのみが影響を受けるシステムにアクセスできるようにするための IP ベースのアクセス制御リスト (ACL) の採用などが挙げられます。
Most Critical Apache Vulnerabilities の詳細なブログもご覧ください
オンライン詐欺師からウェブサイトを保護することに不安を感じていますか? XSS、LFI、RFI、SQL インジェクション、悪質なボット、その他 80 以上の脅威から 24 時間セキュリティを保証する Astra の Web Security Suite にお問い合わせください。