製品・ソフトウェアに関する情報
Vulnerability Search
Apache HTTP Server の mod_lua モジュールの mod_lua.c におけるアクセス制限を回避される脆弱性
Title Apache HTTP Server の mod_lua モジュールの mod_lua.c におけるアクセス制限を回避される脆弱性
Summary

Apache HTTP Server の mod_lua モジュールの mod_lua.c は、同一の Lua authorization provider が異なるコンテキスト内の異なる引数を使用する httpd 設定をサポートしないため、アクセス制限を回避される脆弱性が存在します。

Possible impacts 第三者により、複数の Require 命令 (directive) を利用されることで、アクセス制限を回避される可能性があります。
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Nov. 12, 2014, midnight
Registration Date Jan. 6, 2015, 4:51 p.m.
Last Update Jan. 29, 2016, 4:28 p.m.
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:N/I:P/A:N
Affected System
Apache Software Foundation
Apache HTTP Server 2.3.x
Apache HTTP Server 2.4.10 未満の 2.4.x
Apache HTTP Server 2.3.x
Apache HTTP Server 2.4.10 未満の 2.4.x
オラクル
Oracle Enterprise Manager Ops Center 12.1.4 未満
Oracle Enterprise Manager Ops Center 12.2.0
Oracle Enterprise Manager Ops Center 12.2.1
Oracle Enterprise Manager Ops Center 12.3.0
Oracle Enterprise Manager Ops Center 12.1.4 未満
Oracle Enterprise Manager Ops Center 12.2.0
Oracle Enterprise Manager Ops Center 12.2.1
Oracle Enterprise Manager Ops Center 12.3.0
アップル
Apple Mac OS X 10.10 から 10.10.4
Apple Mac OS X 10.9.5
Apple Mac OS X 10.10 から 10.10.4
Apple Mac OS X 10.9.5
macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)
macOS Server (旧 OS X Server) 5.0.3 未満 (OS X Yosemite v10.10.5 以降)
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
0 [2015年01月06日]
  掲載
[2015年06月04日]
  参考情報:関連文書 (MGASA-2015-0011) を追加
[2015年08月31日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (HT205031) を追加
  ベンダ情報:アップル (APPLE-SA-2015-08-13-2 OS X Yosemite v10.10.5 and Security Update 2015-006) を追加
[2015年10月05日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:アップル (APPLE-SA-2015-09-16-4 OS X Server 5.0.3) を追加
  ベンダ情報:アップル (HT205219) を追加
  参考情報:JVN (JVNVU#99970459) を追加
[2016年01月29日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:オラクル (Oracle Critical Patch Update Advisory - January 2016) を追加
  ベンダ情報:オラクル (Text Form of Oracle Critical Patch Update - January 2016 Risk Matrices) を追加
  ベンダ情報:オラクル (January 2016 Critical Patch Update Released) を追加		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-8109
Summary

mod_lua.c in the mod_lua module in the Apache HTTP Server 2.3.x and 2.4.x through 2.4.10 does not support an httpd configuration in which the same Lua authorization provider is used with different arguments within different contexts, which allows remote attackers to bypass intended access restrictions in opportunistic circumstances by leveraging multiple Require directives, as demonstrated by a configuration that specifies authorization for one group to access a certain directory, and authorization for a second group to access a second directory.

Publication Date Dec. 30, 2014, 8:59 a.m.
Registration Date Jan. 26, 2021, 3:19 p.m.
Last Update Nov. 21, 2024, 11:18 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:http_server:2.4.1:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.6:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.3:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.4:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.10:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.7:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.2:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.9:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:o:canonical:ubuntu_linux:14.10:*:*:*:*:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:esm:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:-:*:*:*
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:*
Configuration3 or higher or less more than less than
cpe:2.3:o:fedoraproject:fedora:21:*:*:*:*:*:*:*
Configuration4 or higher or less more than less than
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.1:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:12.2.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:enterprise_manager_ops_center:*:*:*:*:*:*:*:* 12.1.4
Related information, measures and tools
Common Vulnerabilities List