Vulnerabilità di sicurezza riportata in Apache 2.4.46 integrato in NMC
Summary: Vulnerabilità di sicurezza riportata in Apache 2.4.46 integrato in NMC. Tenable Nessus ha rilevato vulnerabilità di sicurezza in Apache 2.4.46. Apache 2.4.46 è integrato in NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Di seguito è riportato l'elenco dei CVE identificati dallo scanner di sicurezza.
CVE-2020-35452
In Apache HTTP Server versioni da 2.4.0 a 2.4.46, un attributo Digest Nonce appositamente predisposto può causare un overflow dello stack in mod_auth_digest. Non è presente alcun report di questo overflow e il team di Apache HTTP Server non è in grado di crearne uno, sebbene un compilatore e/o un'opzione di compilazione specifica lo consentano, con conseguenze limitate per via della dimensione (un singolo byte) e del valore (zero byte) dell'overflow
CVE-2021-26691
In Apache HTTP Server versioni da 2.4.0 a 2.4.46, un attributo SessionHeader appositamente predisposto inviato da un server di origine potrebbe causare un overflow dell'heap
CVE-2021-26690
In Apache HTTP Server versioni da 2.4.0 a 2.4.46, un attributo CookieHeader appositamente predisposto gestito da mod_session può causare la dereferenziazione e l'arresto anomalo di un puntatore NULL, determinando una possibile vulnerabilità di tipo Denial of Service
CVE-2020-13950
In Apache HTTP Server versioni da 2.4.41 a 2.4.46, è possibile forzare l'arresto anomalo di mod_proxy_http (dereferenziazione del puntatore NULL) con richieste appositamente predisposte mediante intestazioni Content-Length e Transfer-Encoding, determinando una vulnerabilità di tipo Denial of Service
CVE-2020-13938
In Apache HTTP Server versioni da 2.4.0 a 2.4.46, gli utenti locali senza privilegi possono arrestare httpd in Windows
CVE-2019-17567
In Apache HTTP Server versioni da 2.4.6 a 2.4.46, mod_proxy_wstunnel configurato in un URL non necessariamente aggiornato dal server di origine esegue il tunneling dell'intera connessione, consentendo così il passaggio di richieste successive sulla stessa connessione senza alcuna convalida, autenticazione o autorizzazione HTTP eventualmente configurata
CVE-2021-30641
In Apache HTTP Server versioni da 2.4.39 a 2.4.46 si verifica un comportamento di corrispondenza imprevisto con "MergeSlashes OFF"
Ambiente:
Versione di NetWorker Server (service pack e build): 19.4.0.1 build 95
Sistema operativo in cui è in esecuzione NetWorker: Oracle Linux 7
Cause
Problema noto: [NetWorker] Escalation 40810 - Vulnerabilità di sicurezza riportata in Apache 2.4.46 integrato in NMC
Resolution
I CVE menzionati non hanno un impatto su NMC.
Vulnerabilità Impatto su NMC Motivo
CVE-2020-35452 No mod_auth_digest non caricato.
CVE-2021-26691 No Modulo mod_session non caricato
CVE-2021-26690 No Modulo mod_sessions non caricato.
CVE-2020-13950 No Modulo mod_proxy_http non caricato.
CVE-2020-13938 No Avvio/arresto di HTTP mediante il servizio gstd, che può essere avviato e arrestato solo mediante l'utente Admin.
CVE-2019-17567 No Modulo mod_proxy_wstunnel non caricato.
CVE-2021-30641 No Modulo mod_proxy non caricato.
Vulnerabilità Impatto su NMC Motivo
CVE-2020-35452 No mod_auth_digest non caricato.
CVE-2021-26691 No Modulo mod_session non caricato
CVE-2021-26690 No Modulo mod_sessions non caricato.
CVE-2020-13950 No Modulo mod_proxy_http non caricato.
CVE-2020-13938 No Avvio/arresto di HTTP mediante il servizio gstd, che può essere avviato e arrestato solo mediante l'utente Admin.
CVE-2019-17567 No Modulo mod_proxy_wstunnel non caricato.
CVE-2021-30641 No Modulo mod_proxy non caricato.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.