Azure Linux 3.0 セキュリティ更新mod_http2CVE-2021-31618]
high Nessus プラグイン ID 295654
Language:
概要
リモートの Azure Linux ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Azure Linux 3.0 ホストにインストールされている mod_http2 のバージョンは、テスト済みバージョンより前です。したがって、CVE-2021-31618 のアドバイザリに記載されている脆弱性の影響を受けます。- HTTP/2プロトコル用のApache HTTP Serverプロトコルハンドラーは、サーバーに対して構成され、HTTP/1プロトコルに対しても使用されるサイズ制限に照らして、受信したリクエストヘッダーをチェックします。これらの制限を超えると、リクエストが拒否された理由を示すステータスコードと共にHTTP応答がクライアントに送信されます。問題のあるヘッダーがフッターで受信または表示される最初のヘッダーであった場合、この拒否応答がHTTP/2プロトコルハンドラーで完全に初期化されませんでした。このため、初期化されたメモリでNULLポインターデリファレンスが発生し、子プロセスが確実にクラッシュしました。このクラッシュをトリガーするHTTP/2リクエストは細工して送信するのが簡単なため、悪用されてサーバーのDoSが引き起こされる可能性があります。この問題の影響を受けるのは、mod_http2 1.15.17およびApache HTTP Server バージョン2.4.47のみです。Apache HTTP Server 2.4.47 がリリースされていませんでした。(CVE-2021-31618)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 295654
ファイル名: azure_linux_CVE-2021-31618.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/22
更新日: 2026/1/22
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2021-31618
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:microsoft:azure_linux:mod_http2-debuginfo, x-cpe:/o:microsoft:azure_linux, p-cpe:/a:microsoft:azure_linux:mod_http2
必要な KB アイテム: Host/local_checks_enabled, Host/AzureLinux/release, Host/AzureLinux/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2025/5/13
脆弱性公開日: 2021/6/1
参照情報
CVE: CVE-2021-31618