リモートホストで実行されているIBM HTTP Serverのバージョンは、以下のような複数の脆弱性の影響を受けます。

  - IBM GSKit（IBM DB2 for Linux、UNIXおよびWindows 9.7、10.1、10.5および 11.1）は、複数のICCインスタンスがロードされている場合、fork()システムコールでPRNG状態を重複します。これにより、重複したセッションIDや重複したキーマテリアルのリスクにつながる可能性があります。（CVE-2018-1426）

  - GSKit（IBM Spectrum Protect 7.1および7.2）および（IBM Spectrum Protectスナップショット4.1.3、4.1.4および4.1.6）のCMS KDBロジックは、ハッシュ関数をソルトできず、その結果パスワードの保護は予想よりも弱くなっています。脆弱なパスワードが回復される可能性があります。注 : 更新後、顧客はパスワードを変更し、新しいパスワードがより安全に保存されるようにする必要があります。製品は、顧客がこの手順を優先度の高いアクションとして実行するように促す必要があります。（CVE-2018-1447）

  - 1.0.2kより前の1.0.2、1.1.0dより前の1.1.0のOpenSSLには、x86_64 Montgomery二乗プロシージャにキャリー伝播のバグがあります。ECアルゴリズムは影響を受けません。分析によれば、この欠陥の結果を使用してRSAとDSAに対する攻撃を実行するのは非常に難しく、その可能性は低いと考えられます。DHに対する攻撃は、秘密鍵に関する情報の推測に必要な作業のほとんどがオフラインで実行される可能性があるため、（実行は非常に困難ではあるものの）可能であると考えられます。そのような攻撃に必要なリソースの量は非常に多く、実行できる攻撃者の数は限られていると考えられます。永続的なDHパラメーターと複数のクライアントで共有される秘密鍵があるシナリオでは、攻撃者は標的の秘密鍵を使用して、パッチが適用されていないシステムへオンラインでアクセスする必要があります。たとえば、これはOpenSSL DHEベースのSSL/TLS暗号スイートでデフォルトで発生する可能性があります。注 : この問題はCVE-2015-3193と非常に似ていますが、別の問題として扱う必要があります。（CVE-2017-3732）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

IBM HTTP Server 7.0.0.0 <= 7.0.0.43 / 8.0.0.0 <= 8.0.0.14 / 8.5.0.0 < 8.5.5.14 / 9.0.0.0 < 9.0.0.8の複数の脆弱性（569301）

critical Nessus プラグイン ID 144773

依存が見つかりません