検出

Mandriva Linux セキュリティアドバイザリ:apache(MDVSA-2014:065)

medium Nessus プラグイン ID 73128

Language:

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

Apache(ASF HTTPD)で複数の脆弱性が見つかり、修正されています。

mod_dav の XML 解析コードは、先行スペースの削除時に文字列の終端を不適切に計算し、バッファ外に NULL 文字を置きます。これにより、ランダムクラッシュが発生します。この XML 解析コードは、DeltaV をサポートする DAV プロバイダーモジュールでのみ使用されます。この公にリリースされた唯一のプロバイダーは、mod_dav_svn です(CVE-2013-6438)。

mod_log_config に欠陥が見つかりました。リモートの攻撃者が、クラッシュを引き起こす特定の切り捨てられたクッキーを送信する可能性があります。スレッド化された MPM を使用する場合、このクラッシュは、単なるサービス拒否になります(CVE-2014-0098)。

更新パッケージが、これらの問題に対して脆弱性がない 2.2.27 バージョンにアップグレードされています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/CHANGES

http://svn.apache.org/viewvc?view=revision&revision=1576706

http://svn.apache.org/viewvc?view=revision&revision=1576716

https://httpd.apache.org/security/vulnerabilities_24.html

プラグインの詳細

深刻度: Medium

ID: 73128

ファイル名: mandriva_MDVSA-2014-065.nasl

バージョン: 1.8

タイプ: local

公開日: 2014/3/21

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:apache, p-cpe:/a:mandriva:linux:apache-devel, p-cpe:/a:mandriva:linux:apache-doc, p-cpe:/a:mandriva:linux:apache-htcacheclean, p-cpe:/a:mandriva:linux:apache-mod_authn_dbd, p-cpe:/a:mandriva:linux:apache-mod_cache, p-cpe:/a:mandriva:linux:apache-mod_dav, p-cpe:/a:mandriva:linux:apache-mod_dbd, p-cpe:/a:mandriva:linux:apache-mod_deflate, p-cpe:/a:mandriva:linux:apache-mod_disk_cache, p-cpe:/a:mandriva:linux:apache-mod_reqtimeout, p-cpe:/a:mandriva:linux:apache-mod_ssl, p-cpe:/a:mandriva:linux:apache-mod_suexec, p-cpe:/a:mandriva:linux:apache-mod_userdir, p-cpe:/a:mandriva:linux:apache-mpm-event, p-cpe:/a:mandriva:linux:apache-mpm-itk, p-cpe:/a:mandriva:linux:apache-mpm-peruser, p-cpe:/a:mandriva:linux:apache-mpm-prefork, p-cpe:/a:mandriva:linux:apache-mpm-worker, p-cpe:/a:mandriva:linux:apache-source, cpe:/o:mandriva:business_server:1, p-cpe:/a:mandriva:linux:apache-mod_file_cache, p-cpe:/a:mandriva:linux:apache-mod_ldap, p-cpe:/a:mandriva:linux:apache-mod_mem_cache, p-cpe:/a:mandriva:linux:apache-mod_proxy, p-cpe:/a:mandriva:linux:apache-mod_proxy_ajp, p-cpe:/a:mandriva:linux:apache-mod_proxy_scgi

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/3/20

参照情報

CVE: CVE-2013-6438, CVE-2014-0098

BID: 66303

MDVSA: 2014:065