RHEL 6/7:Red Hat JBoss Core Services Apache HTTP Server 2.4.37 SP3(RHSA-2020: 2644)

medium Nessus プラグイン ID 137705

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 6/7 ホストにインストールされているパッケージは、RHSA-2020: 2644アドバイザリに記載されている脆弱性の影響を受けます。

- expat: 入力に多数のコロンがあると、パーサーが大量のリソースを消費し、DoSにつながります(CVE-2018-20843)

- httpd: mod_http2: 文字列比較でのメモリ解放後読み取り(CVE-2019-0196)

- httpd: mod_http2: 最新版へのアップグレードでクラッシュする可能性(CVE-2019-0197)

- expat: 細工されたXML入力を介したヒープベースのバッファオーバーリード(CVE-2019-15903)

- libxml2: parser.cのxmlParseBalancedChunkMemoryRecoverにおけるメモリリーク(CVE-2019-19956)

- libxml2: xmlschemas.cのxmlSchemaPreRunにおけるメモリリーク(CVE-2019-20388)

- nghttp2: SETTINGSフレームが大きすぎると、DoSにつながる可能性があります(CVE-2020-11080)

- httpd: 初期化されていない値のmod_proxy_ftp使用(CVE-2020-1934)

- libxml2: 一部のファイル終端の状況におけるxmlStringLenDecodeEntitiesの無限ループ(CVE-2020-7595)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/CVE-2018-20843

https://access.redhat.com/security/cve/CVE-2019-0196

https://access.redhat.com/security/cve/CVE-2019-0197

https://access.redhat.com/security/cve/CVE-2019-15903

https://access.redhat.com/security/cve/CVE-2019-19956

https://access.redhat.com/security/cve/CVE-2019-20388

https://access.redhat.com/security/cve/CVE-2020-1934

https://access.redhat.com/security/cve/CVE-2020-7595

https://access.redhat.com/security/cve/CVE-2020-11080

https://access.redhat.com/errata/RHSA-2020:2644

https://bugzilla.redhat.com/1695030

https://bugzilla.redhat.com/1695042

https://bugzilla.redhat.com/1723723

https://bugzilla.redhat.com/1752592

https://bugzilla.redhat.com/1788856

https://bugzilla.redhat.com/1799734

https://bugzilla.redhat.com/1799786

https://bugzilla.redhat.com/1820772

https://bugzilla.redhat.com/1844929

プラグインの詳細

深刻度: Medium

ID: 137705

ファイル名: redhat-RHSA-2020-2644.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2020/6/22

更新日: 2024/3/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.9

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2020-1934

CVSS v3

リスクファクター: Medium

Base Score: 5.3

Temporal Score: 4.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-curl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-libcurl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-libcurl-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_cluster-native, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_http2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk-ap24, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_jk-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_md, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_security, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-nghttp2-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-openssl-pkcs11

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2020/6/22

脆弱性公開日: 2019/4/1

参照情報

CVE: CVE-2018-20843, CVE-2019-0196, CVE-2019-0197, CVE-2019-15903, CVE-2019-19956, CVE-2019-20388, CVE-2020-11080, CVE-2020-1934, CVE-2020-7595

BID: 107665, 107669

CWE: 122, 125, 400, 401, 416, 444, 456, 770, 772, 835

IAVA: 2019-A-0098-S, 2020-A-0326

RHSA: 2020:2644