Rocky Linux 8varnish:6RLSA-2020:4756
high Nessus プラグイン ID 184825
Language:
概要
リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。説明
リモートのRocky Linux 8ホストには、RLSA-2020:4756アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。- 6.0.4 LTSより前、および6.2.1より前の6.1.xおよび6.2.xのVarnish Cacheで問題が発見されました。HTTP/1の解析に失敗すると、リモートの攻撃者が細工されたHTTP/1リクエストを送信してアサートをトリガーする可能性があります。このアサーションにより、キャッシュがクリーンな状態で自動再起動が発生し、サービス拒否攻撃につながる可能性があります。
(CVE-2019-15892)
- 6.0.5 LTSより前、6.2.2より前の6.1.xおよび6.2.x、および6.3.1より前の6.3.xのVarnish Cacheで問題が発見されました。同じ接続内のあるクライアントリクエストの処理から次のリクエストの処理に移る際、ポインターがクリアされません。このため、この接続内の以前のリクエストに関連するデータ構造や、VCL関連の一時ヘッダーなどの情報が、接続ワークスペースから漏洩することがあります。(CVE-2019-20637)
- 6.0.6 LTSより前、6.2.3より前の6.1.xおよび6.2.x、および6.3.2より前の6.3.xのVarnish Cacheで問題が発見されました。これは、TLS終端プロキシとの通信がPROXYバージョン2を使用する場合に発生します。アサーションの失敗とデーモンの再起動が生じる場合があり、パフォーマンスの低下を引き起こす可能性があります。(CVE-2020-11653)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://errata.rockylinux.org/RLSA-2020:4756
https://bugzilla.redhat.com/show_bug.cgi?id=1756079
プラグインの詳細
深刻度: High
ID: 184825
ファイル名: rocky_linux_RLSA-2020-4756.nasl
バージョン: 1.0
タイプ: local
公開日: 2023/11/7
更新日: 2023/11/7
サポートされているセンサー: Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2019-20637
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:rocky:linux:varnish-modules-debugsource, p-cpe:/a:rocky:linux:varnish-modules, p-cpe:/a:rocky:linux:varnish-modules-debuginfo, p-cpe:/a:rocky:linux:varnish, p-cpe:/a:rocky:linux:varnish-devel, p-cpe:/a:rocky:linux:varnish-docs, cpe:/o:rocky:linux:8
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/11/3
脆弱性公開日: 2019/9/3