Amazon Linux AMI:lighttpd(ALAS-2014-346)
high Nessus プラグイン ID 78289
Language:
概要
リモートのAmazon Linux AMIホストに、セキュリティ更新プログラムがありません。説明
1.4.35 より前の lighttpd の (1) mod_evhost および (2) mod_simple_vhost にある複数のディレクトリトラバーサルの脆弱性により、リモートの攻撃者が、request_check_hostnameに関係したホスト名の..(ドットドット)を介して任意のファイルを読み取る可能性があります。1.4.35 より前の lighttpd の mod_mysql_vhost.c にある SQL インジェクションの脆弱性により、リモートの攻撃者がホスト名を介して任意の SQL コマンドを実行する可能性があります。これは request_check_hostname に関連します。
ソリューション
「yum update lighttpd」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 78289
ファイル名: ala_ALAS-2014-346.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
公開日: 2014/10/12
更新日: 2018/4/18
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:lighttpd, p-cpe:/a:amazon:linux:lighttpd-debuginfo, p-cpe:/a:amazon:linux:lighttpd-fastcgi, p-cpe:/a:amazon:linux:lighttpd-mod_geoip, p-cpe:/a:amazon:linux:lighttpd-mod_mysql_vhost, cpe:/o:amazon:linux
必要な KB アイテム: Host/AmazonLinux/release, Host/AmazonLinux/rpm-list, Host/local_checks_enabled
パッチ公開日: 2014/6/3
参照情報
CVE: CVE-2014-2323, CVE-2014-2324
ALAS: 2014-346