Appliance PowerProtect série DP et IDPA : Analyse des vulnérabilités de sécurité détectée « Lighttpd : Chemin d’accès potentiel avec des configurations spécifiques (CVE-2018-19052) - Linux
Résumé: Un problème a été détecté dans mod_alias_physical_handler dans mod_alias.c dans lighttpd antérieur à la version 1.4.50.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Il y a un potentiel.. / chemin d’accès d’un répertoire unique au-dessus d’une cible d’alias, avec une configuration de mod_alias spécifique.
| Ti de vulnérabilitétle | divers | Port de service | Description de la vulnérabilité | Preuve de vulnérabilité |
| lighttpd : chemin d’accès potentiel avec des configurations spécifiques (CVE-2018-19052) | vCenter | 5480/tcp | La vulnérabilité permet à un attaquant distant d’effectuer des attaques traversales de répertoires | Un problème a été détecté dans mod_alias_physical_handler dans mod_alias.c dans lighttpd antérieur à la version 1.4.50. Il y a un potentiel.. / chemin d’accès d’un répertoire unique au-dessus d’une cible d’alias, avec une configuration de mod_alias spécifique où l’alias mis en correspondance n’a pas de caractère de fin « / », mais le chemin du système de fichiers cible d’alias a un caractère « / » de fin. |
Cause
Il y a un potentiel.. / chemin d’accès d’un répertoire unique au-dessus d’une cible d’alias, avec une configuration de mod_alias spécifique. ici l’alias mis en correspondance n’a pas de caractère « / », mais le chemin du système de fichiers cible de l’alias a un caractère « / » de fin.
Résolution
VMware a confirmé que cette vulnérabilité concerne la configuration « mod_alias » n’est pas utilisée dans vCenter. Par conséquent, vCenter n’est pas affecté par cette vulnérabilité. Aucune action n’est requise en ce qui concerne cette vulnérabilité.
Validation:
Aucun mod_alias trouvé dans vCenter.
root@dpappliance-vcsa [ ~ ]# cat /etc/applmgmt/appliance/lighttpd.conf
server.modules += (
« mod_setenv »
)
setenv.add-response-header = ( « X-UA-Compatible » => « IE=edge »,
« X-Frame-Options » => « Deny »,
« X-XSS-Protection » => « 1 ; mode=block »,
» « X-Content-Type-Options » => « nosniff »,
« Strict-Transport-Security » => « max-age=31536000 ; includeSubDomains »,
« Content-Security-Policy » => « default-src 'self' ; img-src « self » data : https://vcsa.vmware.com ; font-src ' self’data :; object-src « none » ; style-src « self » « unsafe-inline » »
Informations supplémentaires
https://nvd.nist.gov/vuln/detail/cve-2018-19052 https://cve.mitre.org/cgi-bin/cvename.cgi?name=2018-19052
Produits concernés
Integrated Data Protection Appliance Family, Integrated Data Protection Appliance SoftwarePropriétés de l’article
Numéro d’article: 000215945
Type d’article: Solution
Dernière modification: 27 mars 2025
Version: 5
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.