NMC에 포함된 Apache 2.4.46에서 보고된 보안 취약성

다음은 보안 스캐너로 식별되는 CVE 목록입니다.

CVE-2020-35452

Apache HTTP Server 버전 2.4.0 ~ 2.4.46 특수 조작 Digest nonce가 mod_auth_digest에서 스택 오버플로를 일으킬 수 있습니다. 이 오버플로가 악용될 수 있다는 보고는 없으며, Apache HTTP Server 팀도 이러한 오버플로를 만들 수 없습니다. 그러나 일부 특정 컴파일러 및/또는 컴파일 옵션으로 이를 가능하게 할 수 있으며, 오버플로의 크기(단일 바이트)와 값(0바이트)으로 인해 결과에 제한이 있습니다.

CVE-2021-26691

Apache HTTP Server 버전 2.4.0 ~ 2.4.46에서 원본 서버로부터 전송된 특수 조작 SessionHeader가 힙 오버플로를 일으킬 수 있습니다.

CVE-2021-26690

Apache HTTP Server 버전 2.4.0 ~ 2.4.46 mod_session에서 처리된 특수 조작 쿠키 헤더가 NULL 포인터 역참조 및 충돌을 일으켜 서비스 거부를 초래할 수 있습니다.

CVE-2020-13950

Apache HTTP Server 버전 2.4.41 ~ 2.4.46 mod_proxy_http는 Content-Length 및 Transfer-Encoding 헤더를 모두 사용하여 특수하게 조작된 요청으로 인해 충돌(NULL 포인터 역참조)할 수 있으며, 이로 인해 서비스 거부가 발생할 수 있습니다.

CVE-2020-13938
Apache HTTP Server 버전 2.4.0 ~ 2.4.46 권한이 없는 로컬 사용자는 Windows에서 httpd를 중지할 수 있습니다.

CVE-2019-17567

Apache HTTP Server 버전 2.4.6~2.4.46 반드시 원본 서버로 업그레이드할 필요가 없는 URL에 구성된 mod_proxy_wstunnel은 모든 연결을 터널링하므로 HTTP 검증, 인증 또는 권한 부여 구성 없이도 동일한 연결에 대한 후속 요청이 통과할 수 있습니다.

CVE-2021-30641

Apache HTTP Server 버전 2.4.39 ~ 2.4.46 'MergeSlashes OFF'에서 예기치 않은 일치 동작

환경:

NetWorker 서버 버전(서비스 팩 및 빌드) - 19.4.0.1 빌드 95
NetWorker가 실행 중인 운영 체제 - Oracle Linux 7

알려진 문제: [NetWorker] Escalation 40810 - NMC에 포함된 Apache 2.4.46에서 보고된 보안 취약성

앞서 언급한 CVE는 NMC에 영향을 주지 않습니다. 


취약성    영향을 받는 NMC    원인    

CVE-2020-35452    없음    mod_auth_digest가 로드되지 않음     
CVE-2021-26691    없음    mod_session 모듈이 로드되지 않음    
CVE-2021-26690    없음    mod_sessions 모듈이 로드되지 않음     
CVE-2020-13950    mod_proxy_http 모듈이 로드되지 않음     
CVE-2020-13938    없음    gstd 서비스를 사용하여 http 시작/중지가 발생하며 이 서비스는 Admin 사용자를 통해서만 시작 및 중지할 수 있음     
CVE-2019-17567    없음    mod_proxy_wstunnel 모듈이 로드되지 않음     
CVE-2021-30641    없음    mod_proxy 모듈이 로드되지 않음