CentOS 4:apache(CESA-2006:0618)
medium Nessus プラグイン ID 67036
Language:
概要
リモート CentOS ホストに1つ以上のセキュリティ更新がありません。説明
セキュリティの問題を修正する更新済みの Apache httpd パッケージが、Red Hat Enterprise Linux 2.1 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新に重大なセキュリティインパクトがあると評価しています。
Apache HTTP Server は、人気のある無料の Web サーバーです。
サーバーに送信された無効な Expect ヘッダーがユーザーにエスケープされないエラーメッセージを返すバグが、 Apache で見つかりました。これにより、被害者をトリックにかけ、サイトに接続させ、注意深く細工した Expect ヘッダーを送信させることにより攻撃者がクロスサイトスクリプティング攻撃を実行する可能性があります。(CVE-2006-3918)
サードパーティの攻撃者は Web ブラウザに任意の Expect ヘッダーを送信することを強制できません。一方、最近になって、Flash プラグインの特定のバージョンがリクエストヘッダーを操作できることが判明しました。
このようなバージョンを実行しているユーザーが悪意のある Flash アプレットのある Web ページをロードした場合、サーバーに対するクロスサイトスクリプティング攻撃を行う可能性があります。
Apache のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を解決する必要があります。
ソリューション
影響を受ける apache パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 67036
ファイル名: centos_RHSA-2006-0618.nasl
バージョン: 1.8
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2013/6/29
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.4
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: cpe:/o:centos:centos:4, p-cpe:/a:centos:centos:httpd, p-cpe:/a:centos:centos:httpd-devel, p-cpe:/a:centos:centos:httpd-manual, p-cpe:/a:centos:centos:httpd-suexec, p-cpe:/a:centos:centos:mod_ssl
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2006/8/24
脆弱性公開日: 2006/7/27
参照情報
CVE: CVE-2006-3918
BID: 19661
RHSA: 2006:0618