リモートの Ubuntu 24.04 LTS ホストには、USN-6729-3 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - Apache のコアにおける入力検証に欠陥があるため、悪意のある、または悪用可能なバックエンド/コンテンツジェネレーターが HTTP 応答を分割する可能性があります。この問題は、2.4.58 以前の Apache HTTP Server に影響を与えます。(CVE-2023-38709)

  - Apache HTTP Server の複数のモジュールでの HTTP 応答の分割により、攻撃者が悪意のある応答ヘッダーをバックエンドアプリケーションに注入して、HTTP 非同期攻撃を引き起こす可能性があります。ユーザーには、この問題を修正したバージョン 2.4.59 へのアップグレードをお勧めします。(CVE-2024-24795)

  - 制限を超える HTTP/2 受信ヘッダーは、情報を提供する HTTP 413 応答を生成するために、nghttp2 で一時的にバッファリングされます。クライアントがヘッダーの送信を停止しない場合、メモリ枯渇につながります。
    (CVE-2024-27316)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 24.04 LTS : Apache HTTP Server の脆弱性 (USN-6729-3)

high Nessus プラグイン ID 194728

バージョン 1.2

バージョン 1.1

バージョン 1.0

バージョン 1.2 Aug 28, 2024, 7:43 PM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Detection (updated detection logic) Plugin metadata Plugin Feed: 202408281943
バージョン 1.1 Jul 12, 2024, 5:55 PM IAVM reference Plugin Feed: 202407121755
バージョン 1.0 Apr 30, 2024, 4:27 AM New Plugin Feed: 202404300427