SuSE 11.3 セキュリティ更新:apache2(SAT パッチ番号 10533)

medium Nessus プラグイン ID 82657
New! Vulnerability Priority Rating (VPR)

Tenable では、すべての脆弱性に対して動的な VPR が計算されます。VPR は脆弱性の情報を、脅威インテリジェンスや機械学習アルゴリズムと組み合わせて、攻撃時に最も悪用される可能性の高い脆弱性を予測します。詳細は、 「VPR とは何で、CVSS とはどう違うのか」を参照してください。

VPR スコア : 3.7

概要

リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。

説明

Apache2 Web サーバーが更新され、さまざまな問題が修正されました。

以下の機能が追加されました:

- バックエンド websockets サーバーに対する Web ソケット接続のトンネリングのサポートを提供します。
(FATE#316880)以下のセキュリティ問題が修正されています:

- Apache HTTP Server 2.2.22 の mod_headers モジュールにより、リモートの攻撃者が、チャンク転送コーディングで送信されるデータのトレーラー部分にヘッダーを配置することにより、「RequestHeader unset」ディレクティブをバイパスする可能性がありました。この修正は、レガシーの動作を復元するために、「MergeTrailers」ディレクティブも追加します。(CVE-2013-5704)

- Apache HTTP Server における mod_cache モジュールの modules/cache/cache_util.c の cache_merge_headers_out 関数により、リモートの攻撃者が、空の HTTP Content-Type ヘッダーを介して、サービス拒否(NULL ポインターデリファレンスとアプリケーションクラッシュ)を引き起こす可能性がありました。(CVE-2014-3581)

- Apache HTTP Server により、リモートの攻撃者が、(1) inode 番号を露出する ETag ヘッダーまたは (2) 子プロセス ID(PID)を露出するマルチパート MIME 境界を介して、機密情報を取得する可能性があります。弊社は今のところ、これが攻撃者に有効なものではないと考えています。この修正は、基本的には潜在的な情報漏洩を軽減するだけのものです。
(CVE-2003-1418)

以下のバグは修正済みです:

- 「サーバーが利用不可です」状態を、全 LDAP SDK にある一時的なエラーとして処理します。(bsc#904427)

- certs が 2 つ以上の server_rec の間で共有されている場合に、スタートアップ時のセグメンテーション違反を修正しました。(bsc#907339)

ソリューション

SAT パッチ番号 10533 を適用してください。

関連情報

https://bugzilla.novell.com/show_bug.cgi?id=713970

https://bugzilla.novell.com/show_bug.cgi?id=871310

https://bugzilla.novell.com/show_bug.cgi?id=899836

https://bugzilla.novell.com/show_bug.cgi?id=904427

https://bugzilla.novell.com/show_bug.cgi?id=907339

https://bugzilla.novell.com/show_bug.cgi?id=907477

http://support.novell.com/security/cve/CVE-2003-1418.html

http://support.novell.com/security/cve/CVE-2013-5704.html

http://support.novell.com/security/cve/CVE-2014-3581.html

プラグインの詳細

深刻度: Medium

ID: 82657

ファイル名: suse_11_apache2-150325.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/4/9

更新日: 2021/1/6

依存関係: ssh_get_info.nasl

リスク情報

リスクファクター: Medium

VPR スコア: 3.7

CVSS v2.0

Base Score: 5

ベクトル: AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性の情報

CPE: p-cpe:/a:novell:suse_linux:11:apache2, p-cpe:/a:novell:suse_linux:11:apache2-doc, p-cpe:/a:novell:suse_linux:11:apache2-example-pages, p-cpe:/a:novell:suse_linux:11:apache2-prefork, p-cpe:/a:novell:suse_linux:11:apache2-utils, p-cpe:/a:novell:suse_linux:11:apache2-worker, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2015/3/25

参照情報

CVE: CVE-2003-1418, CVE-2013-5704, CVE-2014-3581

CWE: 200