リモートのUbuntu 16.04 LTSホストには、USN-4994-2のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache HTTP Serverバージョン2.4.0〜2.4.46。特別に細工されたDigest nonceにより、mod_auth_digestでスタックオーバーフローが引き起こされる可能性があります。このオーバーフローが悪用できるという報告はなく、Apache HTTPサーバーチームも作成できません。一部の特定のコンパイラーやコンパイルオプションによって可能になることはありますが、オーバーフローのサイズ (単一バイト) と値 (ゼロバイト) のために、結果は限られたものになります (CVE-2020-35452)

  - Apache HTTP Server バージョン2.4.0〜2.4.46。mod_sessionによって処理される特別に細工されたCookieヘッダーが、NULLポインターデリファレンスとクラッシュを発生させ、サービス拒否が引き起こされる可能性があります (CVE-2021-26690)

  - Apache HTTP Server バージョン2.4.0〜2.4.46。オリジンサーバーによって送信された特別に細工されたSessionHeaderが、ヒープオーバーフローを引き起こす可能性があります (CVE-2021-26691)

  - Apache HTTP Serverバージョン2.4.39〜2.4.46。「MergeSlashes OFF」による予期しない一致の挙動（CVE-2021-30641）

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Ubuntu 16.04 ESM: Apache HTTP Server の脆弱性 (USN-4994-2)

critical Nessus プラグイン ID 150942

バージョン 1.6