SCW アイコン
ダウンロードいただきありがとうございます!
その他のリソース
ヒーロー背景(区切りなし)
ブログ

最近の Apache の問題の原因となったパストラバーサルの脆弱性の影響を体験してください

チャーリー・エリクセン
2021年10月18日 発行
最終更新日: 2026年3月10日
アプリケーションセキュリティ
開発者トレーニング
教育
ビデオ再生ボタン。
ビデオ再生ボタン。

10月初旬、ApacheはPath Traversal and Remote Code Executionの脆弱性を修正したバージョン2.4.49と、2.4.49での修正が不完全だったことに対応した2.4.50をリリースしました。Apacheはインターネットの25%を占めていると言われていることから、これらのリスクを回避するために最新バージョンにアップデートすることの重要性について、ソーシャルメディアで話題になっているのを見たことがあるかもしれません。しかし、実際のところはどうなのでしょうか?どの程度のリスクがあるのでしょうか?

自分で試してみませんか? 

私たちは、実際の環境でリスクを実証するためのミッションを構築し、誰でも試すことができるように公開しました。このミッションでは、Path Traversal脆弱性がインフラやアプリケーションにどのような影響を与えるかを説明します。このミッションに参加するには、以下をクリックしてください。

Apache CVE-2021-41773 Mission を試用する旨のバナー。
パブリック・ミッションのページへ


パス・トラバーサルの脆弱性について 

この脆弱性は、2.4.49 リリースで導入された(URL 正規化関数の変更による)新しいパス正規化関数にあります。残念ながら、URL エンコードされたパスを正しく正規化することができませんでした。このため、以下の設定がない場合、パストラバーサル攻撃が可能となります。

ディレクトリファイルシステムへのアクセスを拒否または許可する


また、mod_cgi が有効になっている場合、これを利用してリモートコード実行の脆弱性が発生する可能性があります。しかし、何が問題だったのかを理解するために、まずURLエンコーディングについて掘り下げてみましょう。

URLエンコーディング

最も基本的なことですが、この脆弱性は、URLエンコードされたURLに対する配慮が欠けているために発生します。新たに導入したパスの正規化機能では、ドットがURLエンコードされている場合に完全に対応できていませんでした。 

パストラバーサル攻撃を行うためには、../ というシーケンスでトラバースする必要があることを覚えておいてください。しかし、正規化関数は賢いので、それを取り除くことができます。では、どうすればいいのでしょうか?.(ドット)を%2eまでURLエンコードして、.%2e/のようなシーケンスを使うことができます。これは多くの場合、Apache 2.4.40に対して機能します。しかし、もう一歩進んで、二重にエンコードすることもできます。.%2e/ のURLエンコードバージョンは、.%252e/です。これはさらに、Apacheによる正規化の試みを回避することができました。

しかし、それには問題があります。

もし誰かがブラウザで直接この脆弱性を利用しようと思っても、成功しないでしょう。これは、ブラウザがサーバーに送信されるURLを正規化しようとすることが原因です。つまり、二重にエンコードされた配列であっても削除されてしまうのです。また、単純にブラウザを使って実証することはできないということです。

cURLでは、--path-as-is フラグを使用することで、送信前にURLを正規化することを防ぐことができ、これを実証することができます。

Curlパスそのままのコードとリンク

予防と緩和

この問題を完全に防ぐためには、Apacheの最新のパッチを入手することが重要です。具体的には、最低でも 2.4.51 にアップグレードすることをお勧めします。しかし、最新の状態を保つためには、定期的にアップグレードするのがよいでしょう。

2.4.49を使用している場合、この問題を回避するには、Apacheの設定に以下の項目が含まれていることを確認してください。

ディレクトリコードタグに allowoverride none と require all の拒否ルールを設定する。

また、リモートコード実行を防ぐために、mod_cgi を利用していない場合は無効にしてください。

そのインパクトを体感してください。

何が起こったのか、自分で試してみたいと思いませんか? 


リソースを表示
リソースを表示

10月の初めに、Apacheはパストラバーサルとリモートコード実行の脆弱性を修正するバージョン2.4.49をリリースし、修正が不完全だったという事実に対処するバージョン2.4.50をリリースしました。私たちは、現実の環境におけるリスクを実証するという使命を掲げました。今すぐ試してみてください。

もっと興味がありますか?

もっと詳しく

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。

デモを予約
シェア:
リンクトインのブランドソーシャルx ロゴ
著者
チャーリー・エリクセン
2021年10月18日発行

シェア:
リンクトインのブランドソーシャルx ロゴ
ビデオ再生ボタン。
ビデオ再生ボタン。

10月初旬、ApacheはPath Traversal and Remote Code Executionの脆弱性を修正したバージョン2.4.49と、2.4.49での修正が不完全だったことに対応した2.4.50をリリースしました。Apacheはインターネットの25%を占めていると言われていることから、これらのリスクを回避するために最新バージョンにアップデートすることの重要性について、ソーシャルメディアで話題になっているのを見たことがあるかもしれません。しかし、実際のところはどうなのでしょうか?どの程度のリスクがあるのでしょうか?

自分で試してみませんか? 

私たちは、実際の環境でリスクを実証するためのミッションを構築し、誰でも試すことができるように公開しました。このミッションでは、Path Traversal脆弱性がインフラやアプリケーションにどのような影響を与えるかを説明します。このミッションに参加するには、以下をクリックしてください。

Apache CVE-2021-41773 Mission を試用する旨のバナー。
パブリック・ミッションのページへ


パス・トラバーサルの脆弱性について 

この脆弱性は、2.4.49 リリースで導入された(URL 正規化関数の変更による)新しいパス正規化関数にあります。残念ながら、URL エンコードされたパスを正しく正規化することができませんでした。このため、以下の設定がない場合、パストラバーサル攻撃が可能となります。

ディレクトリファイルシステムへのアクセスを拒否または許可する


また、mod_cgi が有効になっている場合、これを利用してリモートコード実行の脆弱性が発生する可能性があります。しかし、何が問題だったのかを理解するために、まずURLエンコーディングについて掘り下げてみましょう。

URLエンコーディング

最も基本的なことですが、この脆弱性は、URLエンコードされたURLに対する配慮が欠けているために発生します。新たに導入したパスの正規化機能では、ドットがURLエンコードされている場合に完全に対応できていませんでした。 

パストラバーサル攻撃を行うためには、../ というシーケンスでトラバースする必要があることを覚えておいてください。しかし、正規化関数は賢いので、それを取り除くことができます。では、どうすればいいのでしょうか?.(ドット)を%2eまでURLエンコードして、.%2e/のようなシーケンスを使うことができます。これは多くの場合、Apache 2.4.40に対して機能します。しかし、もう一歩進んで、二重にエンコードすることもできます。.%2e/ のURLエンコードバージョンは、.%252e/です。これはさらに、Apacheによる正規化の試みを回避することができました。

しかし、それには問題があります。

もし誰かがブラウザで直接この脆弱性を利用しようと思っても、成功しないでしょう。これは、ブラウザがサーバーに送信されるURLを正規化しようとすることが原因です。つまり、二重にエンコードされた配列であっても削除されてしまうのです。また、単純にブラウザを使って実証することはできないということです。

cURLでは、--path-as-is フラグを使用することで、送信前にURLを正規化することを防ぐことができ、これを実証することができます。

Curlパスそのままのコードとリンク

予防と緩和

この問題を完全に防ぐためには、Apacheの最新のパッチを入手することが重要です。具体的には、最低でも 2.4.51 にアップグレードすることをお勧めします。しかし、最新の状態を保つためには、定期的にアップグレードするのがよいでしょう。

2.4.49を使用している場合、この問題を回避するには、Apacheの設定に以下の項目が含まれていることを確認してください。

ディレクトリコードタグに allowoverride none と require all の拒否ルールを設定する。

また、リモートコード実行を防ぐために、mod_cgi を利用していない場合は無効にしてください。

そのインパクトを体感してください。

何が起こったのか、自分で試してみたいと思いませんか? 


リソースを表示
リソースを表示

レポートをダウンロードするには、以下のフォームに記入してください

当社の製品および/または関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を常に細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
SCW成功アイコン
SCWエラーアイコン
フォームを送信するには、「アナリティクス」クッキーを有効にしてください。設定が完了したら、再度無効にしても構いません。
ビデオ再生ボタン。
ビデオ再生ボタン。

10月初旬、ApacheはPath Traversal and Remote Code Executionの脆弱性を修正したバージョン2.4.49と、2.4.49での修正が不完全だったことに対応した2.4.50をリリースしました。Apacheはインターネットの25%を占めていると言われていることから、これらのリスクを回避するために最新バージョンにアップデートすることの重要性について、ソーシャルメディアで話題になっているのを見たことがあるかもしれません。しかし、実際のところはどうなのでしょうか?どの程度のリスクがあるのでしょうか?

自分で試してみませんか? 

私たちは、実際の環境でリスクを実証するためのミッションを構築し、誰でも試すことができるように公開しました。このミッションでは、Path Traversal脆弱性がインフラやアプリケーションにどのような影響を与えるかを説明します。このミッションに参加するには、以下をクリックしてください。

Apache CVE-2021-41773 Mission を試用する旨のバナー。
パブリック・ミッションのページへ


パス・トラバーサルの脆弱性について 

この脆弱性は、2.4.49 リリースで導入された(URL 正規化関数の変更による)新しいパス正規化関数にあります。残念ながら、URL エンコードされたパスを正しく正規化することができませんでした。このため、以下の設定がない場合、パストラバーサル攻撃が可能となります。

ディレクトリファイルシステムへのアクセスを拒否または許可する


また、mod_cgi が有効になっている場合、これを利用してリモートコード実行の脆弱性が発生する可能性があります。しかし、何が問題だったのかを理解するために、まずURLエンコーディングについて掘り下げてみましょう。

URLエンコーディング

最も基本的なことですが、この脆弱性は、URLエンコードされたURLに対する配慮が欠けているために発生します。新たに導入したパスの正規化機能では、ドットがURLエンコードされている場合に完全に対応できていませんでした。 

パストラバーサル攻撃を行うためには、../ というシーケンスでトラバースする必要があることを覚えておいてください。しかし、正規化関数は賢いので、それを取り除くことができます。では、どうすればいいのでしょうか?.(ドット)を%2eまでURLエンコードして、.%2e/のようなシーケンスを使うことができます。これは多くの場合、Apache 2.4.40に対して機能します。しかし、もう一歩進んで、二重にエンコードすることもできます。.%2e/ のURLエンコードバージョンは、.%252e/です。これはさらに、Apacheによる正規化の試みを回避することができました。

しかし、それには問題があります。

もし誰かがブラウザで直接この脆弱性を利用しようと思っても、成功しないでしょう。これは、ブラウザがサーバーに送信されるURLを正規化しようとすることが原因です。つまり、二重にエンコードされた配列であっても削除されてしまうのです。また、単純にブラウザを使って実証することはできないということです。

cURLでは、--path-as-is フラグを使用することで、送信前にURLを正規化することを防ぐことができ、これを実証することができます。

Curlパスそのままのコードとリンク

予防と緩和

この問題を完全に防ぐためには、Apacheの最新のパッチを入手することが重要です。具体的には、最低でも 2.4.51 にアップグレードすることをお勧めします。しかし、最新の状態を保つためには、定期的にアップグレードするのがよいでしょう。

2.4.49を使用している場合、この問題を回避するには、Apacheの設定に以下の項目が含まれていることを確認してください。

ディレクトリコードタグに allowoverride none と require all の拒否ルールを設定する。

また、リモートコード実行を防ぐために、mod_cgi を利用していない場合は無効にしてください。

そのインパクトを体感してください。

何が起こったのか、自分で試してみたいと思いませんか? 


オンラインセミナーを見る
始めよう
もっと詳しく

以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。

レポートを表示デモを予約
PDFをダウンロード
リソースを表示
シェア:
リンクトインのブランドソーシャルx ロゴ
もっと興味がありますか?

シェア:
リンクトインのブランドソーシャルx ロゴ
著者
チャーリー・エリクセン
2021年10月18日発行

シェア:
リンクトインのブランドソーシャルx ロゴ

10月初旬、ApacheはPath Traversal and Remote Code Executionの脆弱性を修正したバージョン2.4.49と、2.4.49での修正が不完全だったことに対応した2.4.50をリリースしました。Apacheはインターネットの25%を占めていると言われていることから、これらのリスクを回避するために最新バージョンにアップデートすることの重要性について、ソーシャルメディアで話題になっているのを見たことがあるかもしれません。しかし、実際のところはどうなのでしょうか?どの程度のリスクがあるのでしょうか?

自分で試してみませんか? 

私たちは、実際の環境でリスクを実証するためのミッションを構築し、誰でも試すことができるように公開しました。このミッションでは、Path Traversal脆弱性がインフラやアプリケーションにどのような影響を与えるかを説明します。このミッションに参加するには、以下をクリックしてください。

Apache CVE-2021-41773 Mission を試用する旨のバナー。
パブリック・ミッションのページへ


パス・トラバーサルの脆弱性について 

この脆弱性は、2.4.49 リリースで導入された(URL 正規化関数の変更による)新しいパス正規化関数にあります。残念ながら、URL エンコードされたパスを正しく正規化することができませんでした。このため、以下の設定がない場合、パストラバーサル攻撃が可能となります。

ディレクトリファイルシステムへのアクセスを拒否または許可する


また、mod_cgi が有効になっている場合、これを利用してリモートコード実行の脆弱性が発生する可能性があります。しかし、何が問題だったのかを理解するために、まずURLエンコーディングについて掘り下げてみましょう。

URLエンコーディング

最も基本的なことですが、この脆弱性は、URLエンコードされたURLに対する配慮が欠けているために発生します。新たに導入したパスの正規化機能では、ドットがURLエンコードされている場合に完全に対応できていませんでした。 

パストラバーサル攻撃を行うためには、../ というシーケンスでトラバースする必要があることを覚えておいてください。しかし、正規化関数は賢いので、それを取り除くことができます。では、どうすればいいのでしょうか?.(ドット)を%2eまでURLエンコードして、.%2e/のようなシーケンスを使うことができます。これは多くの場合、Apache 2.4.40に対して機能します。しかし、もう一歩進んで、二重にエンコードすることもできます。.%2e/ のURLエンコードバージョンは、.%252e/です。これはさらに、Apacheによる正規化の試みを回避することができました。

しかし、それには問題があります。

もし誰かがブラウザで直接この脆弱性を利用しようと思っても、成功しないでしょう。これは、ブラウザがサーバーに送信されるURLを正規化しようとすることが原因です。つまり、二重にエンコードされた配列であっても削除されてしまうのです。また、単純にブラウザを使って実証することはできないということです。

cURLでは、--path-as-is フラグを使用することで、送信前にURLを正規化することを防ぐことができ、これを実証することができます。

Curlパスそのままのコードとリンク

予防と緩和

この問題を完全に防ぐためには、Apacheの最新のパッチを入手することが重要です。具体的には、最低でも 2.4.51 にアップグレードすることをお勧めします。しかし、最新の状態を保つためには、定期的にアップグレードするのがよいでしょう。

2.4.49を使用している場合、この問題を回避するには、Apacheの設定に以下の項目が含まれていることを確認してください。

ディレクトリコードタグに allowoverride none と require all の拒否ルールを設定する。

また、リモートコード実行を防ぐために、mod_cgi を利用していない場合は無効にしてください。

そのインパクトを体感してください。

何が起こったのか、自分で試してみたいと思いませんか? 


目次

PDFをダウンロード
リソースを表示
もっと興味がありますか?

もっと詳しく

Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。

デモを予約[ダウンロード]
シェア:
リンクトインのブランドソーシャルx ロゴ
リソースハブ

始めるためのリソース

その他の投稿
パンフレット

セキュアコードトレーニングのトピックと内容

業界をリードする当社のコンテンツは、お客様の役割を念頭に置きながら、絶え間なく変化するソフトウェア開発環境に合わせて常に進化しています。AI から XQuery Injection まであらゆるトピックを網羅し、アーキテクトやエンジニアからプロダクトマネージャーや QA まで、様々な役割向けに用意されています。コンテンツカタログが提供している内容を、トピックや役割別にざっと見てみましょう。

さらに詳しく
2026年3月11日
セキュアコードトレーニングのトピックと内容
パンフレット
導入事例

オランダ商工会議所、大規模開発者主導型セキュリティの基準を設定

オランダ商工会議所は、役割ベースの認証、トラストスコアのベンチマーク、共有されたセキュリティ責任の文化を通じて、日常の開発にセキュアコーディングを組み込んだ方法を共有しています。

2026年1月6日
電子ブック

OWASP トップ10 2025 電子書籍

OWASPトップ10を制覇したいですか?OWASP Top 10:2025 からアプリケーションを守るための No-BS ガイドをダウンロード

2025年12月23日
ウェビナー

AIによる脅威モデリング:すべての開発者を脅威モデラーに変える

開発者が脅威モデリングのアイデアやテクニックをすでに使用しているAIツールと組み合わせることで、セキュリティの強化、コラボレーションの改善、より強靭なソフトウェアの構築を最初から支援できるようになります。

2025年10月28日
リソースハブ

始めるためのリソース

その他の投稿

サイバーモンが帰ってきた:ボスを倒すAIミッションがオンデマンドで利用可能になりました

「サイバーモン2025 ビート・ザ・ボス」がSCWで一年中プレイできるようになりました。高度なAI/LLMセキュリティ課題を導入し、安全なAI開発を大規模に強化しましょう。

さらに詳しく
2026年3月5日
ブログ
ブログ

サイバー・レジリエンス法の解説:セキュア・バイ・デザイン・ソフトウェア開発にとっての意味

EUサイバー・レジリエンス法(CRA)が何を要求し、誰に適用されるのか、エンジニアリング・チームがセキュア・バイ・デザイン・プラクティス、脆弱性防止、開発者の能力開発にどのように備えられるかを学びましょう。

2026年2月24日
ブログ

イネーブラー1: 定義済みで測定可能な成功基準

Enabler 1は、10部構成のEnablers of Successシリーズの第1部であり、安全なコーディングをリスク削減やスピードなどのビジネス成果に結び付け、プログラムを長期的に成熟させる方法を紹介しています。

2026年2月19日
ブログ

SCW 11周年:適応力と継続的改善のリアルタイムな教訓

2025年はAI、サイバーセキュリティ、そしてSCWにとって大きな年でした。私は2026年を静かな自信と、努力が実を結んだ者だけが持つ楽観をもって迎えています。 

2026年1月27日