検出

openSUSE セキュリティ更新:apache2(openSUSE-2015-635)(Logjam)

low Nessus プラグイン ID 86285

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

Apache2 が更新され、セキュリティ問題が修正されました。

- CVE-2015-3185:Apache HTTP Server 2.4.x の server/request.c の ap_some_auth_required 関数が、Require ディレクティブが認証設定ではなく承認設定と関連づけられている可能性があることを考慮していませんでした。これにより、リモートの攻撃者が、2.2 API の動作に依存するモジュールの存在を利用して、これに便乗した状況で意図されたアクセス制限をバイパスする可能性があります。[bnc#938723]

- CVE-2015-3183:Apache HTTP Server のチャンク転送コード実装が、チャンクヘッダーを適切に解析していませんでした。これにより、リモートの攻撃者が、modules/http/http_filters.c の大きなチャンクサイズの値と無効なチャンク拡張文字の不適切な処理に関連して、細工されたリクエストを介して、HTTP リクエストスマグリングを実行する可能性があります。[bnc#938728]

openSUSE 13.1 で:

- CVE-2015-4000:Logjam の脆弱性を修正します:デフォルト SSLCipherSuite 暗号化文字列を変更して、エクスポート暗号化パッケージを無効化し、エフェメラル楕円曲線ディフィー・ヘルマン(ECDHE)暗号を展開します。「gensslcert」スクリプトを調整し、強い一意のディフィー・ヘルマングループを生成し、サーバー証明書ファイルに追加します [bnc#931723]。

ソリューション

影響を受ける apache2 パッケージを更新してください。

参考資料

https://bugzilla.opensuse.org/show_bug.cgi?id=931723

https://bugzilla.opensuse.org/show_bug.cgi?id=938723

https://bugzilla.opensuse.org/show_bug.cgi?id=938728

プラグインの詳細

深刻度: Low

ID: 86285

ファイル名: openSUSE-2015-635.nasl

バージョン: 2.10

タイプ: local

エージェント: unix

公開日: 2015/10/6

更新日: 2022/12/5

サポートされているセンサー: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

Base Score: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

リスクファクター: Low

Base Score: 3.7

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:apache2, p-cpe:/a:novell:opensuse:apache2-debuginfo, p-cpe:/a:novell:opensuse:apache2-debugsource, p-cpe:/a:novell:opensuse:apache2-devel, p-cpe:/a:novell:opensuse:apache2-event, p-cpe:/a:novell:opensuse:apache2-event-debuginfo, p-cpe:/a:novell:opensuse:apache2-example-pages, p-cpe:/a:novell:opensuse:apache2-prefork, p-cpe:/a:novell:opensuse:apache2-prefork-debuginfo, p-cpe:/a:novell:opensuse:apache2-utils, p-cpe:/a:novell:opensuse:apache2-utils-debuginfo, p-cpe:/a:novell:opensuse:apache2-worker, p-cpe:/a:novell:opensuse:apache2-worker-debuginfo, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

パッチ公開日: 2015/9/25

参照情報

CVE: CVE-2015-3183, CVE-2015-3185, CVE-2015-4000