openSUSEセキュリティ更新プログラム:apache2(openSUSE-2018-1046)

high Nessus プラグイン ID 117789

言語:

概要

リモートのopenSUSEホストに、セキュリティ更新プログラムがありません。

説明

このapache2の更新では、次の問題を修正します:

修正されたセキュリティ問題:

- CVE-2016-8743:リクエストから受け入れられ、応答行とヘッダーで送信される、制限のない空白の解釈を修正しました。これらのさまざまな動作を受け入れることは、httpdがプロキシのチェーンに参加したり、mod_proxyまたは従来のCGIメカニズムを使用してバックエンドアプリケーションサーバーとやり取りしたりする際のセキュリティ上の懸念となっており、リクエストのスマグリング、応答分割、キャッシュ汚染を引き起こす可能性があります。(bsc#1016715)

- CVE-2016-4975:mod_userdirを使用するサイトに対するHTTP応答分割攻撃を可能にするCRLFインジェクションの可能性が修正されました。この問題は、「ロケーション」あるいはその他のアウトバウンドヘッダーキーまたは値へのCRまたはLFインジェクションを禁止する変更によって緩和されました。(bsc#1104826)この更新はSUSEからインポートされました:SLE-12-SP2:更新プロジェクトを更新します。

ソリューション

影響を受けるapache2パッケージを更新してください。

関連情報

https://bugzilla.opensuse.org/show_bug.cgi?id=1016715

https://bugzilla.opensuse.org/show_bug.cgi?id=1104826

プラグインの詳細

深刻度: High

ID: 117789

ファイル名: openSUSE-2018-1046.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

公開日: 2018/9/27

更新日: 2021/1/19

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: High

Base Score: 7.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:apache2, p-cpe:/a:novell:opensuse:apache2-debuginfo, p-cpe:/a:novell:opensuse:apache2-debugsource, p-cpe:/a:novell:opensuse:apache2-devel, p-cpe:/a:novell:opensuse:apache2-event, p-cpe:/a:novell:opensuse:apache2-event-debuginfo, p-cpe:/a:novell:opensuse:apache2-example-pages, p-cpe:/a:novell:opensuse:apache2-prefork, p-cpe:/a:novell:opensuse:apache2-prefork-debuginfo, p-cpe:/a:novell:opensuse:apache2-utils, p-cpe:/a:novell:opensuse:apache2-utils-debuginfo, p-cpe:/a:novell:opensuse:apache2-worker, p-cpe:/a:novell:opensuse:apache2-worker-debuginfo, cpe:/o:novell:opensuse:42.3

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2018/9/25

参照情報

CVE: CVE-2016-4975, CVE-2016-8743