このブログは Alibaba Cloud の ECS インスタンスや Server Load Balancer で環境を構築し、そして Security Center で脆弱性の監視や防御を行っています。 ただ、ここ1か月位、この Security Center から CVE-2017-15715 に関する警告が出ています。 2017年の脆弱性で、サーバもある程度定期的に最新化していたこともあり、セキュリティ上の問題が出る可能性は低いと判断し対応を後回しにしていました。 やっと対応したのでその内容を紹介します。
Security Center からダッシュボードでは Score は 94 であること、Discover 1 risk となっています。
Vulnerabilities を確認すると Apache に関する脆弱性が監視対象のサーバに見つかったことがわかります。 (中国語交じりですがまあよくあることなので気にしない)
詳細も以下のように中国語となっていますが、
Google 翻訳で日本語にします。
在Apache httpd 2.4.0至2.4.29中,在< FilesMatch>中指定的表达式可以将“ $”与恶意文件名中的换行符匹配,而不是仅匹配文件名的末尾。这可以在某些文件的上传被外部阻止但仅通过匹配文件名尾部的环境中加以利用。
↓の通り、日本語しました。 Apacheの 2.4.0~2.4.9 にある脆弱性となることがわかります。
Apache httpd 2.4.0から2.4.29では、<FilesMatch>で指定された式は、ファイル名の末尾だけに一致するのではなく、悪意のあるファイル名の改行文字と「$」を一致させることができます。これは、特定のファイルのアップロードが外部でブロックされている環境で使用できますが、ファイル名の末尾を照合することによってのみ使用できます。
ただ、CVE-2017-15715 ということで2017年に確認された脆弱性です。 2017年と古い脆弱性なのですが、Security Center からは1か月か2か月前から急に警告されるようになりました。
実際のサーバ環境を確認すると以下の通りで確かに Apache のバージョンは 2.4.29 と脆弱性の対象のバージョンではあります。
| root@bigriver3:~# /usr/sbin/apache2 -v Server version: Apache/2.4.29 (Ubuntu) Server built: 2020-08-12T21:33:25 |
ただし、apache2 自体は最新とはなっています。(apache2 is already the newest version (2.4.29-1ubuntu4.14).)
| root@bigriver3:~# apt-get upgrade apache2 Reading package lists… Done Building dependency tree Reading state information… Done apache2 is already the newest version (2.4.29-1ubuntu4.14). Calculating upgrade… Done The following packages have been kept back: linux-generic linux-headers-generic linux-image-generic 0 upgraded, 0 newly installed, 0 to remove and 3 not upgraded. |
普段、Ubuntu はほとんど使わないことから、もしかして OS バージョンが古く、Apache の更新が止まっているの可能性があるのかもと思いバージョンを確認します。 18.04.5 LTS ということで 2023年までサポートが提供されるバージョンです。
| root@bigriver3:~# cat /etc/os-release NAME=”Ubuntu” VERSION=”18.04.5 LTS (Bionic Beaver)” ID=ubuntu ID_LIKE=debian PRETTY_NAME=”Ubuntu 18.04.5 LTS” VERSION_ID=”18.04″ HOME_URL=”https://www.ubuntu.com/” SUPPORT_URL=”https://help.ubuntu.com/” BUG_REPORT_URL=”https://bugs.launchpad.net/ubuntu/” PRIVACY_POLICY_URL=”https://www.ubuntu.com/legal/terms-and-policies/privacy-policy” VERSION_CODENAME=bionic UBUNTU_CODENAME=bionic |
Ubuntu 18.04.5 LTS の LTS は Long Term ということで安定板なわけですが、Apache などのパッケージについてどんどん新しいバージョンに更新されていくというよりはバージョンは変わらずにセキュリティ対応が実施されていくのが通常です。 ということで、この Apache 2.4.29 が今回 Security Center からの脆弱性の対象となっている CVE-2017-15715 の対応が既にされているのかどうかを確認します。
ubuntu packages サイトから 18.04LTS の Apache2 (2.4.29-1ubuntu4.14)にアクセスし、 Ubuntuでの変更履歴をクリックします。
2018年に提供されている apache2 (2.4.29-1ubuntu4.1) のリリースで CVE-2017-15715 の対応は完了していることが確認出来ました。
ということで、 Security Center ではこの脆弱性は無視することにします。 Ignore を実行します。
本当は上記の私が確認した内容を Security Center が実施してくれて、その上でこの脆弱性は問題なしと判定してくれればベストではあったと思います。 あと、この2017年の脆弱性が1か月、2か月前から急に警告されるようになった原因は不明です。 サポートに聞いても良いですが、個人サーバなのとセキュリティ上特に問題はなかったので問い合わせはしないこととします。
以上
