NMC:hen sisältyvä Apache 2.4.46 -versiosta ilmoitettu tietoturvaongelma
Summary: Tietoturvaongelma havaittu NMC:hen sisältyvässä Apache 2.4.46 -versiossa. Tenable Nessus löysi suojaushaavoittuvuuksia Apache 2.4.46 -versiosta. Apache 2.4.46 sisältyy NetWorker-hallintakonsoliin. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Seuraavassa on luettelo suojausskannerin tunnistamista CVE:istä.
CVE-2020-35452
Erityisesti muotoillut Apache HTTP -palvelinversiot 2.4.0–2.4.46 Tietyllä tavalla muotoillut Helppokäyttöiset noncet voivat aiheuttaa pinon ylivuodon mod_auth_digest. Apache HTTP -palvelintiimi ei ole ilmoittanut, että ylivuoto on hyödynnettävissä. Se saattaa kuitenkin olla mahdollista tietyllä kääntäjä- ja/tai käännösvaihtoehdolla. Tämä johtuu joka tapauksessa rajoitetusti ylivuodon koosta (yksi tavu) ja nollatavusta.
CVE-2021-26691
Apache HTTP Server -versioissa 2.4.0–2.4.46 origin-palvelimen lähettämä erityisesti muotoiltu SessionHeader voi aiheuttaa kekon ylivuodon
CVE-2021-26690
Apache HTTP Server -versiot 2.4.0–2.4.46 Erityisesti muotoiltu mod_session käsittelevä evästeotsikko voi aiheuttaa NULL-osoittimen virheen ja kaatumisen, mikä voi aiheuttaa palvelunestohyökkäyksen
CVE-2020-13950
Apache HTTP Server -versiot 2.4.41–2.4.46 mod_proxy_http voidaan tehdä kaatumaan (NULL-osoittimen päättely) erityisesti muotoilluilla pyynnöillä käyttämällä sekä Content-Length- että Transfer-Encoding-otsikkoja, mikä johtaa palvelunestoon
CVE-2020-13938Apache
HTTP Server -versiot 2.4.0–2.4.46 Ongelmattomat paikalliset käyttäjät voivat pysäyttää httpd-yhteyden Windowsissa
CVE-2019-17567
Apache HTTP -palvelimen versiot 2.4.6–2.4.46 mod_proxy_wstunnel määritetty URL-osoitteeseen, jota ei välttämättä ole päivitetty origin-palvelimeen, tunneloivat koko yhteyden, joten saman yhteyden seuraavat pyynnöt voidaan suorittaa ilman HTTP-vahvistusta, todennusta tai valtuutusta.
CVE-2021-30641
Apache HTTP -palvelimen versiot 2.4.39–2.4.46 Odottamattomat vastaavat toiminnot, kun yhdistät kenoviivat pois käytöstä
Ympäristö:
NetWorker-palvelinversio (service pack ja koontiversio) – 19.4.0.1 koontiversio 95
Käyttöjärjestelmä, jossa NetWorker on käytössä – Oracle Linux 7
Cause
Tunnettu ongelma: [NetWorker] Eskalointi 40810 - NMC:hen sisältyvässä Apache 2.4.46 -versiossa ilmoitettu tietoturvahaavoittuvuus
Resolution
Mainitut CVE:t eivät vaikuta NMC:hen.
NMC-haavoittuvuus, jota ongelma koskee, syy
CVE-2020-35452 Ei mod_auth_digest ei ole ladattu.
CVE-2021-26691 Ei mod_session -moduulia ei ole ladattu
CVE-2021-26690-ei mod_sessions-moduulia ei ole ladattu.
CVE-2020-13950 Ei mod_proxy_http ei ole ladattu.
CVE-2020-13938 No Http start/stop -virhe ilmenee käytettäessä gstd-palvelua, ja kyseinen palvelu voidaan käynnistää ja pysäyttää ainoastaan järjestelmänvalvojakäyttäjän avulla.
CVE-2019-17567 Ei mod_proxy_wstunnel -moduulia ei ole ladattu.
CVE-2021-30641 Ei mod_proxy -moduulia ei ole ladattu.
NMC-haavoittuvuus, jota ongelma koskee, syy
CVE-2020-35452 Ei mod_auth_digest ei ole ladattu.
CVE-2021-26691 Ei mod_session -moduulia ei ole ladattu
CVE-2021-26690-ei mod_sessions-moduulia ei ole ladattu.
CVE-2020-13950 Ei mod_proxy_http ei ole ladattu.
CVE-2020-13938 No Http start/stop -virhe ilmenee käytettäessä gstd-palvelua, ja kyseinen palvelu voidaan käynnistää ja pysäyttää ainoastaan järjestelmänvalvojakäyttäjän avulla.
CVE-2019-17567 Ei mod_proxy_wstunnel -moduulia ei ole ladattu.
CVE-2021-30641 Ei mod_proxy -moduulia ei ole ladattu.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.