Sikkerhetssårbarhet rapportert i Apache 2.4.46 innebygd i NMC
Summary: Sikkerhetssårbarhet rapportert i Apache 2.4.46 innebygd i NMC. Tenable Nessus fant sikkerhetsproblemer i Apache 2.4.46. Apache 2.4.46 er innebygd i NetWorker Management Console.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nedenfor finner du en liste over CVE-ene som er identifisert av sikkerhetsskanneren.
CVE-2020-35452
Apache HTTP Server-versjoner 2.4.0 til 2.4.46 En spesiallaget eduavhet kan føre til at en stabel flytes over i mod_auth_digest. Det er ingen rapport om at denne overflyten kan utnyttes, eller apache HTTP Server-teamet kan opprette en, selv om et bestemt kompilator- og/eller kompileringsalternativ kan gjøre det mulig, med begrensede konsekvenser likevel på grunn av størrelsen (én enkelt byte) og verdien (null byte) av overflyten
CVE-2021-26691
I Apache HTTP Server-versjoner 2.4.0 til 2.4.46 kan en spesiallaget SessionHeader som sendes av en opprinnelsesserver, føre til heap-overflyt
CVE-2021-26690
Apache HTTP Server-versjoner 2.4.0 til 2.4.46 Et spesiallaget informasjonskapselhode håndtert av mod_session kan føre til en NULL-peker-dereferens og krasj, noe som fører til en mulig tjenestenekt
CVE-2020-13950
Apache HTTP Server-versjoner 2.4.41 til 2.4.46 mod_proxy_http kan utføres for å krasje (NULL-pekeravspilling) med spesiallagde forespørsler ved hjelp av både innholdslengde og overføringskodingshoder, noe som fører til tjenestenekt
CVE-2020-13938Apache
HTTP Server versjon 2.4.0 til 2.4.46 ikke-privilegerte lokale brukere kan stoppe httpd på Windows
CVE-2019-17567
Apache HTTP Server-versjoner 2.4.6 til 2.4.46 mod_proxy_wstunnel konfigurert på en URL som ikke nødvendigvis er oppgradert av opprinnelsesserveren, tunnelerte hele tilkoblingen uansett, og dermed tillater for påfølgende forespørsler om den samme tilkoblingen å passere uten HTTP-validering, godkjenning eller godkjenning som muligens er konfigurert.
CVE-2021-30641
Apache HTTP Server-versjoner 2.4.39 til 2.4.46 Uventet samsvarende atferd med «MergeSlashes OFF»
Miljø:
NetWorker-serverversjon (servicepakke og build) – 19.4.0.1 build 95-operativsystem
der NetWorker kjører – Oracle Linux 7
Cause
Kjent problem: [NetWorker] Eskalering 40810 – Sikkerhetssårbarhet rapportert i Apache 2.4.46 innebygd i NMC
Resolution
De nevnte CVE-ene har ingen innvirkning på NMC.
Sikkerhetsproblem NMC berørt Årsak
CVE-2020-35452 Ingen mod_auth_digest er ikke lastet inn.
CVE-2021-26691 Ingen mod_session modul er ikke lastet inn
CVE-2021-26690 Ingen mod_sessions modul er ikke lastet inn.
CVE-2020-13950 Ingen mod_proxy_http modul er ikke lastet inn.
CVE-2020-13938 Ingen Http start/stopp skjer ved hjelp av gstd service, og denne tjenesten kan bare startes og stoppes ved hjelp av administratorbruker.
CVE-2019-17567 Ingen mod_proxy_wstunnel modul er ikke lastet inn.
CVE-2021-30641 Ingen mod_proxy modul er ikke lastet inn.
Sikkerhetsproblem NMC berørt Årsak
CVE-2020-35452 Ingen mod_auth_digest er ikke lastet inn.
CVE-2021-26691 Ingen mod_session modul er ikke lastet inn
CVE-2021-26690 Ingen mod_sessions modul er ikke lastet inn.
CVE-2020-13950 Ingen mod_proxy_http modul er ikke lastet inn.
CVE-2020-13938 Ingen Http start/stopp skjer ved hjelp av gstd service, og denne tjenesten kan bare startes og stoppes ved hjelp av administratorbruker.
CVE-2019-17567 Ingen mod_proxy_wstunnel modul er ikke lastet inn.
CVE-2021-30641 Ingen mod_proxy modul er ikke lastet inn.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.