Faille de sécurité signalée dans Apache 2.4.46 intégré dans NMC
Summary: Faille de sécurité signalée dans Apache 2.4.46 intégré dans NMC. Tenable Nessus a détecté des failles de sécurité dans Apache 2.4.46. Apache 2.4.46 est intégré à NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Vous trouverez ci-dessous la liste des CVE identifiés par le scanner de sécurité.
CVE-2020-35452
Serveur HTTP Apache versions 2.4.0 à 2.4.46 Un nonce de recueil spécialement conçu peut entraîner une saturation de la pile dans mod_auth_digest. Il n’existe aucun rapport sur le caractère exploitable de cette saturation, tout comme l’équipe du serveur HTTP Apache n’a pu la recréer, bien qu’un compilateur et/ou une option de compilation particulière rende cela possible, avec des conséquences de toute façon limitées en raison de la taille (un seul octet) et de la valeur (zéro octet) de cette saturation
CVE-2021-26691
Serveurs HTTP Apache versions 2.4.0 à 2.4.46 : un SessionHeader spécialement conçu envoyé par un serveur d’origine peut entraîner un dépassement de capacité du segment de mémoire
CVE-2021-26690
Serveurs HTTP Apache versions 2.4.0 à 2.4.46 : un en-tête de cookie spécialement conçu et géré par mod_session peut entraîner un déréférencement et un blocage du pointeur NULL, ce qui peut entraîner un déni de service
CVE-2020-13950
Serveurs HTTP Apache versions 2.4.41 à 2.4.46 : mod_proxy_http peut se bloquer (déréférencement du pointeur NULL) avec des demandes spécialement conçues à l’aide d’en-têtes Content-Length et Transfer-Encoding, ce qui entraîne un déni de service
CVE-2020-13938
Serveurs HTTP Apache versions 2.4.0 à 2.4.46 : les utilisateurs locaux non privilégiés peuvent arrêter httpd sous Windows
CVE-2019-17567
Serveurs HTTP Apache versions 2.4.6 à 2.4.46 : mod_proxy_wstunnel, configuré sur une URL qui n’est pas nécessairement mise à niveau par le serveur d’origine, a tunnelisé toute la connexion, ce qui permet aux demandes ultérieures sur la même connexion de transiter sans validation, authentification ou autorisation HTTP éventuellement configurée.
CVE-2021-30641
Serveurs HTTP Apache versions 2.4.39 à 2.4.46 : comportement de correspondance inattendu avec « MergeSlashes OFF »
Environnement :
Version du serveur NetWorker (service pack et build) : version 19.4.0.1 build 95
Système d’exploitation sur lequel NetWorker est en cours d’exécution : Oracle Linux 7
Cause
Problème connu : [NetWorker] Escalade 40810 - Faille de sécurité signalée dans Apache 2.4.46 intégré à NMC
Resolution
Les CVE mentionnés n’ont pas d’impact sur le NMC.
Vulnerability NMC affected Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No mod_session module is not loaded
CVE-2021-26690 No mod_sessions module is not loaded.
CVE-2020-13950 No mod_proxy_http module is not loaded.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 No mod_proxy_wstunnel module is not loaded.
CVE-2021-30641 No mod_proxy module is not loaded.
Vulnerability NMC affected Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 No mod_session module is not loaded
CVE-2021-26690 No mod_sessions module is not loaded.
CVE-2020-13950 No mod_proxy_http module is not loaded.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 No mod_proxy_wstunnel module is not loaded.
CVE-2021-30641 No mod_proxy module is not loaded.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.