Apache < 2.0.51 の複数の脆弱性(OF、DoS)
medium Nessus プラグイン ID 14748
Language:
概要
リモート Web サーバーは、複数の脆弱性の影響を受けます。説明
サーバー応答ヘッダーによると、リモートホストは、2.0.51 より古いバージョンの Apache 2.0 を実行しています。このようなバージョンは、以下を含むいくつかの問題の影響を受けることがあります。- apr-util の入力検証問題は、不正な形式の IPv6 リテラルアドレスによってトリガされ、バッファオーバーフローを引き起こすことがあります(CVE-2004-0786)。
- 構成ファイルの構文解析中に環境変数を展開するとトリガされることがあるバッファオーバーフローがあります (CVE-2004-0747)。
- 間接的なロックの更新を処理する際の mod_dav_ds のセグメンテーション違反により、プロセスがクラッシュすることがあります(CVE-2004-0809)。
- 例えば、SSL サーバーへのプロキシ要求によって「推測」モードを使用している場合、SSL の入力フィルタのセグメンテーション違反がトリガされることがあります(CVE-2004-0751)。
- mod_ssl で無限ループの可能性があります(CVE-2004-0748)。
ソリューション
Apache 2.0.51 または以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 14748
ファイル名: apache_2_0_51.nasl
バージョン: 1.30
タイプ: remote
ファミリー: Web Servers
公開日: 2004/9/16
更新日: 2018/11/15
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 5.1
現状値: 4
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS v3
リスクファクター: Medium
基本値: 5.6
現状値: 5.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:http_server
必要な KB アイテム: installed_sw/Apache
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
脆弱性公開日: 2004/7/8
参照情報
CVE: CVE-2004-0747, CVE-2004-0748, CVE-2004-0751, CVE-2004-0786, CVE-2004-0809