現在位置: ホーム / セキュリティ ブログ / httpd2で、HTTP/2を使ってTLS Certificate 認証がバイパスされる可能性 (CVE-2016-4979)

httpd2で、HTTP/2を使ってTLS Certificate 認証がバイパスされる可能性 (CVE-2016-4979)

7/5(JST)に、httpd2に複数の脆弱性が報告されています。ここでは、これらの脆弱性について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

7/5(JST)に、httpd2に複数の脆弱性が報告されています。ここでは、これらの脆弱性について簡単にまとめてみます。

各ディストリビューションの対応状況は逐次更新します。

 


関連するCVE

CVE-2016-4979

影響するバージョン

apache 2.4.18-2.4.20

Priority

Important

CVE概要(詳細はCVEのサイトをご確認ください)

      • HTTP/2を使用している際にTLS Certificate Authenticationバイパスされる可能性

      • 重要度 - Important

  1. httpdの設定ファイルで、"SSLVerifyClient require" を設定していて

  2. h2/h2cabで、http/ht2"SSLVerifyClient require" として有効にしている場合

上記の2つを満たす場合、TLS Certification認証をバイパスされる可能性があります。


主なディストリビューションの対応方法

[参考]

Apache Update: TLS Certificate Authentication Bypass with HTTP/2 (CVE-2016-4979)


[セミナー告知]

7/22にノベル株式会社様と共催で「クラウド・OSSセキュリティセミナー」と題して、OpenStack基盤自体のセキュリティに関して、デモを交えたセミナーを行います。

https://sios.secure.force.com/webform/SeminarDetail?id=70110000000sotpAAAがプログラム内容と申し込みの

詳細になりますので、是非お申し込み下さい。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン