FreeBSD:Apache httpd -- 複数の脆弱性(cce76eca-ca16-11eb-9b84-d4c9ef517024)

critical Nessus プラグイン ID 151010

Language:

概要

リモートのFreeBSDホストに、セキュリティ関連の更新プログラムがありません。

説明

Apache httpdによる報告:

- 重要度中:非アップグレード接続のmod_proxy_wstunnelトンネリング(CVE-2019-17567)

- 重要度中:不十分な権限の不適切な処理(CVE-2020-13938)

- 重要度低:mod_proxy_http NULLポインターデリファレンス(CVE-2020-13950)

- 重要度低:1 NULバイトによるmod_auth_digestのスタックオーバーフローの可能性(CVE-2020-35452)

- 重要度低:mod_session NULLポインターデリファレンス(CVE-2021-26690)

- 重要度低:mod_session応答処理のヒープオーバーフロー(CVE-2021-26691)

- 重要度中:「MergeSlashes OFF」との予期しないURLマッチング(CVE-2021-30641)

- 重要度高:特別に細工されたHTTP/2リクエストにおけるNULLポインターデリファレンス(CVE-2021-31618)

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://httpd.apache.org/security/vulnerabilities_24.html

http://www.nessus.org/u?3cef988a

プラグインの詳細

深刻度: Critical

ID: 151010

ファイル名: freebsd_pkg_cce76ecaca1611eb9b84d4c9ef517024.nasl

バージョン: 1.3

タイプ: local

公開日: 2021/6/25

更新日: 2023/12/12

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-26691

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:apache24, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2021/6/10

脆弱性公開日: 2021/6/9

参照情報

CVE: CVE-2019-17567, CVE-2020-13938, CVE-2020-13950, CVE-2020-35452, CVE-2021-26690, CVE-2021-26691, CVE-2021-30641, CVE-2021-31618