FreeBSD:apache22 -- いくつかの脆弱性(f927e06c-1109-11e4-b090-20cf30e32f6d)

medium Nessus プラグイン ID 76780
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート FreeBSD ホストに 1 つ以上のセキュリティ関連の更新が見つかりません。

説明

Apache HTTP Server プロジェクトによる報告:

mod_deflate:DEFLATE 入力フィルター(リクエスト本文を拡大する)は、高度に圧縮された本文によるサービス拒否を回避するために、拡大したリクエスト本文の長さおよび圧縮比を制限するようになりました。ディレクティブ DeflateInflateLimitRequestBody、DeflateInflateRatioLimit、 DeflateInflateRatioBurst を参照してください。

mod_cgid:stdin を消費しない CGI スクリプトに対するサービス拒否を修正します。この問題は、HTTPD 子プロセスが残留し、スコアボードが埋め尽くされ、徐々にサーバーがハングアップします。デフォルトではクライアント I/O タイムアウト(タイムアウトディレクティブ)が、スクリプトとの通信に適用されるようになりました。CGIDScriptTimeout ディレクティブはスクリプトとの通信に対して異なるタイムアウトを設定するために使用できます。

ヒープバッファオーバーフローにつながる、スコアボード処理の競合状態を修正します。

コア:HTTP トレーラーは、リクエスト中に HTTP ヘッダーの置換に使用できます。これにより、以前にリクエストヘッダーを検査または変更したモジュールの処理を行うことや、元に戻すこと、あるいは混乱させることがあります。従来の動作を復元するために、「MergeTrailers」ディレクティブを追加します。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

http://www.nessus.org/u?dc305eeb

プラグインの詳細

深刻度: Medium

ID: 76780

ファイル名: freebsd_pkg_f927e06c110911e4b09020cf30e32f6d.nasl

バージョン: 1.11

タイプ: local

公開日: 2014/7/25

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

Base Score: 6.8

ベクトル: AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:apache22, p-cpe:/a:freebsd:freebsd:apache22-event-mpm, p-cpe:/a:freebsd:freebsd:apache22-itk-mpm, p-cpe:/a:freebsd:freebsd:apache22-peruser-mpm, p-cpe:/a:freebsd:freebsd:apache22-worker-mpm, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2014/7/24

脆弱性公開日: 2014/7/19

参照情報

CVE: CVE-2013-5704, CVE-2014-0118, CVE-2014-0226, CVE-2014-0231