検出

SuSE 11.3 セキュリティ更新:apache2(SAT パッチ番号 10533)

medium Nessus プラグイン ID 82657

Language:

概要

リモート SuSE 11 ホストに1つ以上のセキュリティ更新がありません。

説明

Apache2 Web サーバーが更新され、さまざまな問題が修正されました。

以下の機能が追加されました:

- バックエンド websockets サーバーに対する Web ソケット接続のトンネリングのサポートを提供します。
 (FATE#316880)以下のセキュリティ問題が修正されています:

- Apache HTTP Server 2.2.22 の mod_headers モジュールにより、リモートの攻撃者が、チャンク転送コーディングで送信されるデータのトレーラー部分にヘッダーを配置することにより、「RequestHeader unset」ディレクティブをバイパスする可能性がありました。この修正は、レガシーの動作を復元するために、「MergeTrailers」ディレクティブも追加します。(CVE-2013-5704)

- Apache HTTP Server における mod_cache モジュールの modules/cache/cache_util.c の cache_merge_headers_out 関数により、リモートの攻撃者が、空の HTTP Content-Type ヘッダーを介して、サービス拒否(NULL ポインターデリファレンスとアプリケーションクラッシュ)を引き起こす可能性がありました。(CVE-2014-3581)

- Apache HTTP Server により、リモートの攻撃者が、(1) inode 番号を露出する ETag ヘッダーまたは (2) 子プロセス ID(PID)を露出するマルチパート MIME 境界を介して、機密情報を取得する可能性があります。弊社は今のところ、これが攻撃者に有効なものではないと考えています。この修正は、基本的には潜在的な情報漏洩を軽減するだけのものです。
 (CVE-2003-1418)

以下のバグは修正済みです:

- 「サーバーが利用不可です」状態を、全 LDAP SDK にある一時的なエラーとして処理します。(bsc#904427)

- certs が 2 つ以上の server_rec の間で共有されている場合に、スタートアップ時のセグメンテーション違反を修正しました。(bsc#907339)

ソリューション

SAT パッチ番号 10533 を適用してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=713970

https://bugzilla.novell.com/show_bug.cgi?id=871310

https://bugzilla.novell.com/show_bug.cgi?id=899836

https://bugzilla.novell.com/show_bug.cgi?id=904427

https://bugzilla.novell.com/show_bug.cgi?id=907339

https://bugzilla.novell.com/show_bug.cgi?id=907477

http://support.novell.com/security/cve/CVE-2003-1418.html

http://support.novell.com/security/cve/CVE-2013-5704.html

http://support.novell.com/security/cve/CVE-2014-3581.html

プラグインの詳細

深刻度: Medium

ID: 82657

ファイル名: suse_11_apache2-150325.nasl

バージョン: 1.5

タイプ: local

エージェント: unix

公開日: 2015/4/9

更新日: 2021/1/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:11:apache2, p-cpe:/a:novell:suse_linux:11:apache2-doc, p-cpe:/a:novell:suse_linux:11:apache2-example-pages, p-cpe:/a:novell:suse_linux:11:apache2-prefork, p-cpe:/a:novell:suse_linux:11:apache2-utils, p-cpe:/a:novell:suse_linux:11:apache2-worker, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2015/3/25

参照情報

CVE: CVE-2003-1418, CVE-2013-5704, CVE-2014-3581

CWE: 200