Apache HTTPサーバーに、複数の脆弱性が見つかりました。CVE-2019-0217：スレッド化されたサーバーで実行しているときにmod_auth_digestが競合状態であるため、有効な認証情報を持つユーザーは、設定されたアクセス制御の制限をバイパスして別のユーザー名を使用して認証される可能性があります。この問題はSimon Kappel氏によって発見されました。CVE-2019-0220：Alpha Strike Labs GmbHのBernhard Lorenz氏は、URLの正規化の処理に一貫性がないと報告しました。リクエストURLのパスコンポーネントに複数の連続したスラッシュ（「/」）が含まれているときに、LocationMatchやRewriteRuleなどのディレクティブは正規表現における重複を考慮する必要がありますが、その他のサーバー処理では暗黙的に折りたたまれます。Debian 8「Jessie」では、これらの問題はバージョン2.4.10-10+deb8u14で修正されました。お使いのapache2パッケージをアップグレードすることを推奨します。注：Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

検出

Debian DLA-1748-1：apache2セキュリティ更新プログラム

high Nessus プラグイン ID 123689

バージョン 1.7