Oracle Linux 8 : httpd:2.4 (ELSA-2024-3121)
high Nessus プラグイン ID 198007
Language:
概要
リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。説明
リモートの Oracle Linux 8 ホストに、ELSA-2024-3121 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。httpd [2.4.37-64.0.1]
- index.html を Oracle のインデックスページ oracle_index.html で置換します
[2.4.37-64]
- 解決: RHEL-14448 - httpd: mod_macro: 領域外読み取りの脆弱性 (CVE-2023-31122)
[2.4.37-63]
- mod_xml2enc: メディアタイプ処理を修正します。解決: RHEL-14321
mod_http2 [1.15.7-10]
- 解決: RHEL-29817 - httpd:2.4/mod_http2: httpd: CONTINUATION フレームの DoS (CVE-2024-27316)
[1.15.7-9.3]
- 解決: RHEL-13367 - httpd:2.4/mod_http2: リセットリクエストがメモリを消費します (CVE-2023-44487 の不完全な修正) (CVE-2023-45802)
[1.15.7-8.3]
- 解決: #2177748 - CVE-2023-25690 httpd:2.4/httpd: mod_rewrite および mod_proxy による HTTP リクエスト分割
[1.15.7-7]
- 解決: #2095650 - httpd の mod_http2 からの依存関係の破損
[1.15.7-6]
- SNI 機能のバックポートリファクタリング
- 解決: rhbz#2137257
[1.15.7-5]
- 解決: #2035030 - CVE-2021-44224 httpd:2.4/httpd: NULL デリファレンスまたはフォワードプロキシ構成の SSRF
[1.15.7-4]
- 解決: #1966728 - CVE-2021-33193 httpd:2.4/mod_http2: httpd:
HTTP/2 メソッドインジェクションおよび mod_proxy によるリクエスト分割
[1.15.7-3]
- 解決: #1869077 - CVE-2020-11993 httpd:2.4/mod_http2: httpd:
mod_http2 同時プール使用率
[1.15.7-2]
- 解決: #1869073 - CVE-2020-9490 httpd:2.4/mod_http2: httpd:
特別に細工された HTTP/2 ヘッダーのダイアリークラッシュをプッシュします
[1.15.7-1]
- 新しいバージョン 1.15.7
- 解決: #1814236 - RFE: mod_http2 リベース
- 解決: #1747289 - CVE-2019-10082 httpd:2.4/mod_http2: httpd:
h2 接続シャットダウンでのメモリ解放後読み取り
- 解決: #1696099 - CVE-2019-0197 httpd:2.4/mod_http2: httpd:
mod_http2: 最新版へのアップグレードでクラッシュする可能性
- 解決: #1696094 - CVE-2019-0196 httpd:2.4/mod_http2: httpd:
mod_http2: 文字列比較でのメモリ解放後読み取り (read-after-free)
- 解決: #1677591 - CVE-2018-17189 httpd:2.4/mod_http2: httpd:
mod_http2: 遅延された不要なリクエスト本体を介した DoS
[1.11.3-3]
- 解決: #1744999 - CVE-2019-9511 httpd:2.4/mod_http2: HTTP/2: 大量のデータリクエストにより、サービス拒否が引き起こされます
- 解決: #1745086 - CVE-2019-9516 httpd:2.4/mod_http2: HTTP/2: 長さゼロのヘッダーによりサービス拒否が引き起こされます
- 解決: #1745154 - CVE-2019-9517 httpd:2.4/mod_http2: HTTP/2: 大量の応答リクエストにより、サービス拒否が引き起こされます
[1.11.3-2]
- リリースの更新 (#1695587)
[1.11.3-1]
- 新しいバージョン 1.11.3
- 解決: #1633401 - CVE-2018-11763 mod_http2: httpd: 継続的 SETTINGS による HTTP/2 接続の DoS
[1.10.20-1]
- 1.10.20 への更新
[1.10.18-1]
- 1.10.18 への更新
[1.10.16-1]
- 1.10.16 に更新してください(CVE-2018-1302)
[1.10.13-2]
- https://fedoraproject.org/wiki/Fedora_28_Mass_Rebuild用の再構築
[1.10.13-1]
- 1.10.13 への更新
[1.10.12-1]
- 1.10.12 への更新
[1.10.10-2]
- https://fedoraproject.org/wiki/Fedora_27_Binutils_Mass_Rebuild用の再構築
[1.10.10-1]
- 1.10.10 への更新
[1.10.7-2]
- https://fedoraproject.org/wiki/Fedora_27_Mass_Rebuild用の再構築
[1.10.7-1]
- 1.10.7 への更新
[1.10.6-1]
- 1.10.6 への更新
[1.10.5-1]
- 1.10.5 への更新
[1.10.1-1]
- 初期インポート (#1440780)。
mod_md
Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 198007
ファイル名: oraclelinux_ELSA-2024-3121.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2024/5/28
更新日: 2024/5/28
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2023-31122
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:oracle:linux:8:10:appstream_base, p-cpe:/a:oracle:linux:mod_md, cpe:/a:oracle:linux:8::appstream, p-cpe:/a:oracle:linux:httpd-devel, p-cpe:/a:oracle:linux:mod_session, p-cpe:/a:oracle:linux:httpd-filesystem, p-cpe:/a:oracle:linux:httpd-manual, p-cpe:/a:oracle:linux:mod_ldap, p-cpe:/a:oracle:linux:mod_proxy_html, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:mod_ssl, p-cpe:/a:oracle:linux:mod_http2, cpe:/a:oracle:linux:8:9:appstream_base, p-cpe:/a:oracle:linux:httpd, p-cpe:/a:oracle:linux:httpd-tools
必要な KB アイテム: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/5/24
脆弱性公開日: 2023/10/19
参照情報
CVE: CVE-2023-31122, CVE-2023-45802