Sicherheitslücke in Apache 2.4.46, das in NMC eingebettet ist, gemeldet
Summary: Sicherheitslücke in Apache 2.4.46 gemeldet, in NMC integriert. Tenable Nessus hat Sicherheitslücken in Apache 2.4.46 gefunden. Apache 2.4.46 ist in die NetWorker Management Console integriert. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nachfolgend finden Sie eine Liste der CVEs, die durch den Sicherheitsscanner identifiziert werden.
CVE-2020-35452
Apache HTTP Server-Versionen 2.4.0 bis 2.4.46 Eine speziell gestaltete Digest-Nonce kann zu einem Stapelüberlauf in mod_auth_digest führen. Es gibt keinen Bericht darüber, dass dieser Überlauf ausnutzbar ist, das Apache HTTP Server-Team konnte auch keine erstellen, obwohl ein bestimmter Compiler und/oder eine Kompilierungsoption dies möglich machen könnte, mit begrenzten Konsequenzen aufgrund der Größe (ein einzelnes Byte) und des Werts (Null-Byte) des Überlaufs.
CVE-2021-26691
In Apache HTTP-Serverversionen 2.4.0 bis 2.4.46 kann ein speziell gestalteter SessionHeader, der von einem Ursprungsserver gesendet wird, zu einem Heap-Überlauf führen.
CVE-2021-26690
Apache HTTP Server-Versionen 2.4.0 bis 2.4.46 Ein speziell gestalteter Cookie-Header, der von mod_session verarbeitet wird, kann zu einer NULL-Zeigerableitung und einem Absturz führen, was zu einer möglichen Denial of Service führt.
CVE-2020-13950
Apache HTTP Server-Versionen 2.4.41 bis 2.4.46 mod_proxy_http kann mit einer Anfrage mit speziell gestalteten Headern zu Inhaltslänge und Übertragungscodierung zum Absturz gebracht werden (NULL-Zeigerableitung), was zu einer Denial of Service führt.
CVE-2020-13938
Apache HTTP-Serverversionen 2.4.0 bis 2.4.46 Nicht privilegierte lokale NutzerInnen können httpd unter Windows beenden
CVE-2019-17567
Apache HTTP-Serverversionen 2.4.6 bis 2.4.46 Wenn mod_proxy_wstunnel auf eine URL konfiguriert ist, die nicht zwingend vom Quellserver aktualisiert wurde, wurde dennoch die gesamte Verbindung getunnelt, sodass nachfolgende Anfragen auf derselben Verbindung möglicherweise ohne konfigurierte HTTP-Validierung, Authentifizierung oder Autorisierung weitergeleitet werden konnten.
CVE-2021-30641
Apache HTTP Server-Versionen 2.4.39 bis 2.4.46 Unerwartetes Abgleichverhalten mit „MergeSlashes OFF“
Umgebung:
NetWorker-Serverversion (Service Pack und Build) – 19.4.0.1 Build 95
Betriebssystem, auf dem NetWorker ausgeführt wird – Oracle Linux 7
Cause
Bekanntes Problem: [NetWorker] Escalation 40810 - Sicherheitslücke in Apache 2.4.46, das in NMC eingebettet ist, gemeldet
Resolution
Die erwähnten CVEs haben keine Auswirkungen auf NMC.
Sicherheitslücke NMC betroffen Grund
CVE-2020-35452 Nein mod_auth_digest wird nicht geladen.
CVE-2021-26691 Nein Modul mod_session wird nicht geladen
CVE-2021-26690 Nein Modul mod_sessions wird nicht geladen.
CVE-2020-13950 Nein Modul mod_proxy_http wird nicht geladen.
CVE-2020-13938 Nein Es erfolgt kein Http-Start/Stopp über den gstd-Service und dieser Service kann nur mithilfe des Admin-Nutzers gestartet und beendet werden.
CVE-2019-17567 Nein Modul mod_proxy_wstunnel wird nicht geladen.
CVE-2021-30641 Nein Modul mod_proxy wird nicht geladen.
Sicherheitslücke NMC betroffen Grund
CVE-2020-35452 Nein mod_auth_digest wird nicht geladen.
CVE-2021-26691 Nein Modul mod_session wird nicht geladen
CVE-2021-26690 Nein Modul mod_sessions wird nicht geladen.
CVE-2020-13950 Nein Modul mod_proxy_http wird nicht geladen.
CVE-2020-13938 Nein Es erfolgt kein Http-Start/Stopp über den gstd-Service und dieser Service kann nur mithilfe des Admin-Nutzers gestartet und beendet werden.
CVE-2019-17567 Nein Modul mod_proxy_wstunnel wird nicht geladen.
CVE-2021-30641 Nein Modul mod_proxy wird nicht geladen.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.