Apache 2.4.x< 2.4.12の複数の脆弱性

high Web App Scanning プラグイン ID 98907

Language:

概要

説明

バナーによると、リモートホストで実行されているApache 2.4.xのバージョンは、2.4.12以前です。したがって、次の脆弱性の影響を受けます:

- モジュール mod_headers にエラーがあることにより、リクエスト処理の後半で HTTP トレーラーが HTTP ヘッダーを置換できます。リモートの攻撃者はこれを悪用して、任意のヘッダーを注入できます。これによって、一部のモジュールが不適切に機能することや、不適切に機能しているように見えることもあります。 (CVE-2013-5704)

- mod_cache モジュールに NULL ポインターデリファレンスの欠陥が存在します。リモートの攻撃者は、空の HTTP Content-Type ヘッダーを使用してこの脆弱性を悪用して、キャッシュフォワードプロキシ構成をクラッシュし、スレッド化された MPM を使用する場合にサービス拒否を引き起こす可能性があります。(CVE-2014-3581)

- mod_proxy_fcgi モジュールに領域外メモリ読み取りの欠陥が存在します。攻撃者は、リモート FastCGI サーバーを使用して長いレスポンスヘッダーを送信し、この脆弱性を悪用して、バッファオーバーリードを引き起こしてサービス拒否を発生できます。 (CVE-2014-3583)

- 複数の Require ディレクティブでさまざまな引数で使用される LuaAuthzProvider を処理するときに、モジュール od_lua に欠陥があります。攻撃者がこの脆弱性を悪用して、意図されているアクセス制限をバイパスする可能性があります。(CVE-2014-8109)

スキャナーはこれらの問題のテストを行っておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。