Linux Distros のパッチ未適用の脆弱性: CVE-2021-21299
high Nessus プラグイン ID 259174
Language:
概要
Linux/Unix ホストには、ベンダーにより修正されていないことを示す脆弱性を持つ複数のパッケージがインストールされています。説明
Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。- hyper は Rust 用のオープンソース HTTP ライブラリですcrates.io。バージョン 0.12.0 以降、バージョン 0.13.10 、 0.14.3 より前の hyper に、リクエストスマグリング攻撃を可能にする脆弱性が存在します。HTTP サーバーコードに、不正なものとして拒否されるべき場合に、複数の転送エンコーディングヘッダーのある一部のリクエストを間違って解釈し、チャンクされたペイロードを持たせる欠陥がありました。これを、リクエストペイロード境界を異なって理解する Upstream HTTP プロキシと組み合わせると、リクエストスマグリングまたはデ同期攻撃が発生する可能性があります。脆弱であるかどうかを判断するには、以下のすべてが真である必要があります1) HTTP サーバーとしてハイパーを使用クライアントは影響を受けません、2) HTTP/ を使用して1.1 HTTP/2 は transfer-encoding を使用していません、3) hyper に対して脆弱な HTTP プロキシ Upstream。上流プロキシが不正な転送エンコーディングヘッダーを正しく拒否しない場合、desync 攻撃は成功しません。hyper のプロキシ Upstream がない場合、クライアントが 転送する前にヘッダーを修正するため、hyper は desync 攻撃を開始できません。これはバージョン 0.14.3 および 0.13.10 で修正されました。回避策として、以下のオプションを選択できます。1「transfer-encoding」ヘッダーを含むリクエストを拒否、2upstream プロキシが「transfer-encoding」を適切に処理する。
(CVE-2021-21299)
Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。
ソリューション
現時点で既知の解決策はありません。参考資料
プラグインの詳細
深刻度: High
ID: 259174
ファイル名: unpatched_CVE_2021_21299.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: Misc.
公開日: 2025/8/30
更新日: 2025/8/30
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-21299
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.1
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:canonical:ubuntu_linux:24.04:-:lts, cpe:/o:canonical:ubuntu_linux:25.04, p-cpe:/a:canonical:ubuntu_linux:rust-hyper, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必要な KB アイテム: Host/cpu, Host/local_checks_enabled, global_settings/vendor_unpatched, Host/OS/identifier
エクスプロイトの容易さ: No known exploits are available
脆弱性公開日: 2021/2/11
参照情報
CVE: CVE-2021-21299