NMCに組み込まれたApache 2.4.46で報告されたセキュリティの脆弱性

以下は、セキュリティ スキャナーによって識別されるCVEのリストです。

CVE-2020-35452

Apache HTTP Serverバージョン2.4.0～2.4.46 特別に作成されたダイジェストnonceにより、mod_auth_digestでスタック オーバーフローが発生する可能性があります。このオーバーフローが悪用可能であるという報告はなく、Apache HTTPサーバー チームがこれを作成することもできませんが、特定のコンパイラーやコンパイル オプションによって利用/作成可能になる場合があります。ただし、サイズ（1バイト）とオーバーフローの値（ゼロ バイト）のために結果は制限されます。

CVE-2021-26691

Apache HTTP Serverバージョン2.4.0～2.4.46では、元のサーバーから送信された特別に作成されたS sessionHeaderが、ヒープ オーバーフローを引き起こす可能性があります

CVE-2021-26690

Apache HTTP Serverバージョン2.4.0～2.4.46 mod_sessionによって処理される特別に作成されたCookieヘッダーにより、NULLポインターの逆参照とクラッシュが発生し、サービス拒否が発生する可能性があります

CVE-2020-13950

Apache HTTP Serverバージョン2.4.41～2.4.46 mod_proxy_httpが作成されて、Content-LengthとTransfer-Encodingの両ヘッダーを使用する特別に作成されたリクエストによってクラッシュ（NULLポインターの逆参照）を行い、サービス拒否につながる可能性があります。

CVE-2020-13938
Apache HTTP Serverバージョン2.4.0～2.4.46 特権のないローカル ユーザーがWindowsでhttpdを停止する可能性があります

CVE-2019-17567

Apache HTTP Serverバージョン2.4.6～2.4.46 mod_proxy_wstunnelで、元のサーバーによってアップグレードされているとは限らないURLが設定され、接続全体がトンネリングされていました。このため、HTTPの検証、認証、および認可処理が機能していない場合でも、同じ接続で後続のリクエストをパススルーできてしまいます。

CVE-2021-30641

Apache HTTP Serverバージョン2.4.39～2.4.46「MergeSactiones OFF」にした場合に予期しないマッチングの動作が発生します。

環境:

NetWorker Serverバージョン（サービス パックおよびビルド） – 19.4.0.1ビルド95
NetWorkerが実行されているオペレーティング システム – Oracle Linux 7

既知の問題：［NetWorker］ エスカレーション40810 - NMCに組み込まれているApache 2.4.46で報告されたセキュリティの脆弱性

前述のCVEは、NMCには影響しません。


脆弱性    NMCへの影響    理由    

CVE-2020-35452    なし    mod_auth_digestがロードされていない。     
CVE-2021-26691    なし    mod_sessionモジュールがロードされていない    
CVE-2021-26690    なし    mod_sessionsモジュールがロードされていない。     
CVE-2020-13950    なし    mod_proxy_httpモジュールがロードされていない。     
CVE-2020-13938    なし    gstdサービスの使用によるhttpの開始/停止が発生している。httpは管理者ユーザーを使用してのみ開始/停止が可能。     
CVE-2019-17567    なし    mod_proxy_wstunnelモジュールがロードされていない。     
CVE-2021-30641    なし    mod_proxyモジュールがロードされていない。