リモートの Oracle Linux 8 ホストに、ELSA-2024-3121 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

    httpd [2.4.37-64.0.1]
    - index.html を Oracle のインデックスページ oracle_index.html で置換します

    [2.4.37-64]
    - 解決: RHEL-14448 - httpd: mod_macro: 領域外読み取りの脆弱性 (CVE-2023-31122)

    [2.4.37-63]
    - mod_xml2enc: メディアタイプ処理を修正します。解決: RHEL-14321

    mod_http2 [1.15.7-10]
    - 解決: RHEL-29817 - httpd:2.4/mod_http2: httpd: CONTINUATION フレームの DoS (CVE-2024-27316)

    [1.15.7-9.3]
    - 解決: RHEL-13367 - httpd:2.4/mod_http2: リセットリクエストがメモリを消費します (CVE-2023-44487 の不完全な修正) (CVE-2023-45802)

    [1.15.7-8.3]
    - 解決: #2177748 - CVE-2023-25690 httpd:2.4/httpd: mod_rewrite および mod_proxy による HTTP リクエスト分割

    [1.15.7-7]
    - 解決: #2095650 - httpd の mod_http2 からの依存関係の破損

    [1.15.7-6]
    - SNI 機能のバックポートリファクタリング
    - 解決： rhbz#2137257

    [1.15.7-5]
    - 解決: #2035030 - CVE-2021-44224 httpd:2.4/httpd: NULL デリファレンスまたはフォワードプロキシ構成の SSRF

    [1.15.7-4]
    - 解決: #1966728 - CVE-2021-33193 httpd:2.4/mod_http2: httpd:
      HTTP/2 メソッドインジェクションおよび mod_proxy によるリクエスト分割

    [1.15.7-3]
    - 解決: #1869077 - CVE-2020-11993 httpd:2.4/mod_http2: httpd:
      mod_http2 同時プール使用率

    [1.15.7-2]
    - 解決: #1869073 - CVE-2020-9490 httpd:2.4/mod_http2: httpd:
      特別に細工された HTTP/2 ヘッダーのダイアリークラッシュをプッシュします

    [1.15.7-1]
    - 新しいバージョン 1.15.7
    - 解決: #1814236 - RFE: mod_http2 リベース
    - 解決: #1747289 - CVE-2019-10082 httpd:2.4/mod_http2: httpd:
      h2 接続シャットダウンでのメモリ解放後読み取り
    - 解決: #1696099 - CVE-2019-0197 httpd:2.4/mod_http2: httpd:
      mod_http2: 最新版へのアップグレードでクラッシュする可能性
    - 解決: #1696094 - CVE-2019-0196 httpd:2.4/mod_http2: httpd:
      mod_http2: 文字列比較でのメモリ解放後読み取り (read-after-free)
    - 解決: #1677591 - CVE-2018-17189 httpd:2.4/mod_http2: httpd:
      mod_http2: 遅延された不要なリクエスト本体を介した DoS

    [1.11.3-3]
    - 解決: #1744999 - CVE-2019-9511 httpd:2.4/mod_http2: HTTP/2: 大量のデータリクエストにより、サービス拒否が引き起こされます
    - 解決: #1745086 - CVE-2019-9516 httpd:2.4/mod_http2: HTTP/2: 長さゼロのヘッダーによりサービス拒否が引き起こされます
    - 解決: #1745154 - CVE-2019-9517 httpd:2.4/mod_http2: HTTP/2: 大量の応答リクエストにより、サービス拒否が引き起こされます

    [1.11.3-2]
    - リリースの更新 (#1695587)

    [1.11.3-1]
    - 新しいバージョン 1.11.3
    - 解決: #1633401 - CVE-2018-11763 mod_http2: httpd: 継続的 SETTINGS による HTTP/2 接続の DoS

    [1.10.20-1]
    - 1.10.20 への更新

    [1.10.18-1]
    - 1.10.18 への更新

    [1.10.16-1]
    - 1.10.16 に更新してください（CVE-2018-1302）

    [1.10.13-2]
    - https://fedoraproject.org/wiki/Fedora_28_Mass_Rebuild用の再構築

    [1.10.13-1]
    - 1.10.13 への更新

    [1.10.12-1]
    - 1.10.12 への更新

    [1.10.10-2]
    - https://fedoraproject.org/wiki/Fedora_27_Binutils_Mass_Rebuild用の再構築

    [1.10.10-1]
    - 1.10.10 への更新

    [1.10.7-2]
    - https://fedoraproject.org/wiki/Fedora_27_Mass_Rebuild用の再構築

    [1.10.7-1]
    - 1.10.7 への更新

    [1.10.6-1]
    - 1.10.6 への更新

    [1.10.5-1]
    - 1.10.5 への更新

    [1.10.1-1]
    - 初期インポート (#1440780)。

    mod_md

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Oracle Linux 8 : httpd:2.4 (ELSA-2024-3121)

high Nessus プラグイン ID 198007

バージョン 1.3