リモートの Debian 11 ホストには、dsa-5206 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache Traffic Server のヘッダー解析の不適切な入力検証の脆弱性のため、攻撃者が安全なリソースを要求することが可能です。この問題は、Apache Traffic Server 8.0.0から 9.1.2に影響します。(CVE-2021-37150)

  - Apache Traffic Server の HTTP/2 要求検証における不適切な入力検証の脆弱性のため、攻撃者がスマグリング攻撃やキャッシュ ポイズニング攻撃を作成できます。この問題は、Apache Traffic Server 8.0.0から 9.1.2に影響します。(CVE-2022-25763)

  - Apache Traffic Server の HTTP/1.1 ヘッダー解析における不適切な入力検証の脆弱性のため、攻撃者が無効なヘッダーを送信することが可能です。この問題は、Apache Traffic Server 8.0.0から 9.1.2に影響します。
    (CVE-2022-28129)

  - Apache Traffic Server の Transfer-Encoding ヘッダーの処理における不適切な入力検証の脆弱性のため、攻撃者がキャッシュをポイズニングする可能性があります。この問題は、Apache Traffic Server 8.0.0から 9.0.2に影響します。
    (CVE-2022-31778)

  - Apache Traffic Server の HTTP/2 ヘッダー解析の不適切な入力検証の脆弱性のため、攻撃者がリクエストを偽装することが可能です。この問題は、Apache Traffic Server 8.0.0から 9.1.2に影響します。(CVE-2022-31779)

  - Apache Traffic Server の HTTP/2 フレーム処理の不適切な入力検証の脆弱性のため、攻撃者がリクエストを偽装することが可能です。この問題は、Apache Traffic Server 8.0.0から 9.1.2に影響します。(CVE-2022-31780)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Debian DSA-5206-1: トラフィックサーバー - セキュリティ更新

high Nessus プラグイン ID 164094

バージョン 1.3