Chyba zabezpečení hlášená v softwaru Apache 2.4.46 integrovaném v konzoli NMC
Summary: Chyba zabezpečení hlášená v softwaru Apache 2.4.46 integrovaném v konzoli NMC. Software Tenable Nessus odhalil v softwaru Apache 2.4.46 chyby zabezpečení. Software Apache 2.4.46 je integrovaný v konzoli NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Níže je uveden seznam chyb CVE zjištěných bezpečnostním skenerem.
CVE-2020-35452
V softwaru Server Apache HTTP verze 2.4.0 až 2.4.46 může speciálně vytvořený objekt Digest nonce způsobit zahlcení haldy v modulu mod_auth_digest. Neexistuje žádná zpráva o zneužití tohoto zahlcení, a nepodařilo se to ani týmu Apache HTTP Server. Mohlo by se to však podařit určitému kompilátoru nebo možnosti kompilace s omezenými následky kvůli velikosti (jeden bajt) a hodnotě (nulový bajt) zahlcení.
CVE-2021-26691
V softwaru Apache HTTP Server verze 2.4.0 až 2.4.46 mohl speciálně vytvořený požadavek SessionHeader odeslaný původním serverem způsobit zahlcení haldy.
CVE-2021-26690
V softwaru Apache HTTP Server verze 2.4.0 až 2.4.46 může speciálně vytvořený požadavek CookieHeader zpracovaný modulem mod_session způsobit změnu referenčního ukazatele NULL a selhání, což může vést k možnému odmítnutí služby
CVE-2020-13950
Modul mod_proxy_http softwaru Apache HTTP Server verze 2.4.41 až 2.4.46 může selhat (změna referenčního ukazatele NULL) v důsledku speciálně vytvořených požadavků pomocí záhlaví Content-Length a Transfer-Encoding, což vede k odmítnutí služby
CVE-2020-13938
Místní uživatelé softwaru Apache HTTP Server verze 2.4.0 až 2.4.46 bez oprávnění mohou v systému Windows zastavit software httpd
CVE-2019-17567
Modul mod_proxy_wstunnel softwaru Apache HTTP Server verze 2.4.6 až 2.4.46 nakonfigurovaný na adrese URL, která není nezbytně upgradována původním serverem, tuneloval celé připojení, díky čemuž mohly ve stejném připojení projít další požadavky bez ověření HTTP či možné autorizace.
CVE-2021-30641
V softwaru Apache HTTP Server verze 2.4.39 až 2.4.46 došlo k neočekávanému chování shody s parametrem „MergeSlashes OFF“
Prostředí:
Verze serveru NetWorker (aktualizace Service Pack a sestavení) – 19.4.0.1, sestavení 95
Operační systém, ve kterém je spuštěn nástroj NetWorker – Oracle Linux 7
Cause
Známý problém: [NetWorker] Eskalace 40810 – Chyba zabezpečení hlášená v softwaru Apache 2.4.46 integrovaném v konzoli NMC
Resolution
Zmíněné chyby CVE nemají na konzoli NMC řádný vliv.
Chyba zabezpečení vliv na NMC příčina
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No není načten modul mod_session
CVE-2021-26690 No není načten modul mod_sessions.
CVE-2020-13950 No není načten modul mod_proxy_http.
CVE-2020-13938 No proces Http start/stop lze aktivovat pomocí služby gstd a tuto službu lze spustit a zastavit pouze jako uživatel Admin.
CVE-2019-17567 No není načten modul mod_proxy_wstunnel.
CVE-2021-30641 No není načten modul mod_proxy.
Chyba zabezpečení vliv na NMC příčina
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No není načten modul mod_session
CVE-2021-26690 No není načten modul mod_sessions.
CVE-2020-13950 No není načten modul mod_proxy_http.
CVE-2020-13938 No proces Http start/stop lze aktivovat pomocí služby gstd a tuto službu lze spustit a zastavit pouze jako uživatel Admin.
CVE-2019-17567 No není načten modul mod_proxy_wstunnel.
CVE-2021-30641 No není načten modul mod_proxy.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.