Apache 2.4.x < 2.4.54 HTTP リクエストスマグリングの脆弱性

high Nessus プラグイン ID 193422

概要

リモート Web サーバーは、HTTP リクエストのスマグリングの脆弱性の影響を受けます。

説明

リモートホストにインストールされている Apache httpd のバージョンは、2.4.54 より前です。したがって、2.4.54 のアドバイザリに記載されているリクエストスマグリングの脆弱性の影響を受けます。

- mod_proxy_ajp でのリクエストスマグリングの可能性: Apache HTTP Server の mod_proxy_ajp にある HTTP リクエストの一貫性のない解釈 (「HTTP リクエストスマグリング」) の脆弱性により、攻撃者が、リクエストを転送する AJP サーバーにリクエストを偽装する可能性があります。この問題は Apache HTTP Server Apache HTTP Server 2.4バージョン 2.4.53以前のバージョンに影響を与えます。謝辞: Ricter Z @ 360 Noah Lab

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache バージョン 2.4.54 以降にアップグレードしてください。

参考資料

https://httpd.apache.org/security/vulnerabilities_24.html

プラグインの詳細

深刻度: High

ID: 193422

ファイル名: apache_2_4_54_cve-2022-26377.nasl

バージョン: 1.1

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2024/4/17

更新日: 2024/4/18

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2022-26377

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:http_server, cpe:/a:apache:httpd

必要な KB アイテム: installed_sw/Apache

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/6/8

脆弱性公開日: 2022/3/2

参照情報

CVE: CVE-2022-26377

IAVA: 2022-A-0230-S