Apache 2.4.x < 2.4.8の複数の脆弱性

medium Nessus プラグイン ID 73081

概要

リモートのWebサーバーは複数の脆弱性の影響を受けます。

説明

バナーによると、リモートホストで実行中の Apache 2.4.x は、 2.4.8 より前のバージョンです。したがって、次の脆弱性の影響を受けます:

- 「mod_dav」モジュールに欠陥があります。これは、先頭に余白がある CDATA の長さを追跡するときに発生します。リモートの攻撃者は、特別に作り上げられた DAV WRITE リクエストを使ってサービスの応答を停止することができます。
(CVE-2013-6438)

- 「mod_log_config」モジュールに欠陥があります。これは、割り当てられていない値があるクッキーをログするときに発生します。リモートの攻撃者は、特別に作り上げられたリクエストを使ってサービスをクラッシュできます。(CVE-2014-0098)

Nessus では、実際にはこれらの問題をテストしていませんが、その代わりにサーバーのバナーのバージョンに依存していることに、注意してください。

ソリューション

Apacheバージョン2.4.9以降にアップグレードしてください。あるいは、影響を受けるモジュールを絶対に使用しないでください。

注意:この問題は、2.4.8 で対処されていますが、そのバージョンはリリースされませんでした。

参考資料

https://archive.apache.org/dist/httpd/CHANGES_2.4.9

http://httpd.apache.org/security/vulnerabilities_24.html

プラグインの詳細

深刻度: Medium

ID: 73081

ファイル名: apache_2_4_8.nasl

バージョン: 1.18

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: Web Servers

公開日: 2014/3/18

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Medium

Base Score: 5

Temporal Score: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2014-0098

CVSS v3

リスクファクター: Medium

Base Score: 5.3

Temporal Score: 4.6

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:apache:http_server

必要な KB アイテム: installed_sw/Apache

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/3/18

脆弱性公開日: 2014/3/18

参照情報

CVE: CVE-2013-6438, CVE-2014-0098

BID: 66303