Vulnerabilidad de seguridad informada en Apache 2.4.46 integrado en NMC
Summary: Vulnerabilidad de seguridad informada en Apache 2.4.46 integrado en NMC. Tenable Nessus encontró vulnerabilidades de seguridad en Apache 2.4.46. Apache 2.4.46 está integrado en NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
A continuación, se muestra la lista de las CVE identificadas por el escáner de seguridad.
CVE-2020-35452
Apache HTTP Server versiones 2.4.0 a 2.4.46 Una síntesis especialmente diseñada puede causar un desbordamiento de pila en mod_auth_digest. No hay ningún informe de que este desbordamiento se pueda aprovechar, ni el equipo de Apache HTTP Server podría crear uno, aunque algún compilador o una opción de compilación en particular podrían hacerlo posible, con consecuencias limitadas de todos modos debido al tamaño (un único byte) y el valor (cero bytes) del desbordamiento
CVE-2021-26691
En las versiones 2.4.0 a 2.4.46 de Apache HTTP Server, un SessionHeader especialmente diseñado enviado por un servidor de origen podría causar un desbordamiento del montón
CVE-2021-26690
Versiones 2.4.0 a 2.4.46 de Apache HTTP Server. Un encabezado de cookie especialmente diseñado que maneja mod_session puede cancelar una referencia y generar una falla de puntero NULL, lo que provoca una posible denegación de servicio
CVE-2020-13950
Versiones 2.4.41 a 2.4.46 de Apache HTTP Server. Se puede hacer que mod_proxy_http se bloquee (cancelación de referencia de puntero NULL) con solicitudes especialmente diseñadas mediante encabezados de extensión de contenido y codificación de transferencia, lo que provoca una denegación de servicio
CVE-2020-13938
Versiones de Apache HTTP Server 2.4.0 a 2.4.46. Los usuarios locales sin privilegios pueden detener httpd en Windows
CVE-2019-17567
Versiones 2.4.6 a 2.4.46 de Apache HTTP Server. mod_proxy_wstunnel se configuró en una URL que el servidor de origen no necesariamente actualizó y se canalizó toda la conexión de manera independiente, lo que permite que las solicitudes posteriores en la misma conexión se aprueben sin validación, autenticación ni autorización de HTTP posiblemente configuradas.
CVE-2021-30641
Versiones 2.4.39 a 2.4.46 de Apache HTTP Server. Comportamiento de coincidencia inesperado con "MergeSlashes OFF"
Entorno:
Versión del servidor de NetWorker (Service Pack y compilación): 19.4.0.1 compilación 95
Sistema operativo en que se ejecuta NetWorker: Oracle Linux 7
Cause
Problema conocido: [NetWorker] Escalación 40810: vulnerabilidad de seguridad informada en Apache 2.4.46 integrado en NMC
Resolution
Las CVE mencionadas no tienen impacto en NMC.
Vulnerability NMC affected Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No mod_session module is not loaded
CVE-2021-26690 No mod_sessions module is not loaded.
CVE-2020-13950 No mod_proxy_http module is not loaded.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 No mod_proxy_wstunnel module is not loaded.
CVE-2021-30641 No mod_proxy module is not loaded.
Vulnerability NMC affected Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No mod_session module is not loaded
CVE-2021-26690 No mod_sessions module is not loaded.
CVE-2020-13950 No mod_proxy_http module is not loaded.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 No mod_proxy_wstunnel module is not loaded.
CVE-2021-30641 No mod_proxy module is not loaded.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.