Luka w zabezpieczeniach zgłoszona w oprogramowaniu Apache 2.4.46 wbudowanym w NMC
Summary: Luka w zabezpieczeniach zgłoszona w oprogramowaniu Apache 2.4.46 wbudowanym w NMC. Skaner Tenable Nessus wykrył luki w zabezpieczeniach w oprogramowaniu Apache 2.4.46. Oprogramowanie Apache 2.4.46 jest wbudowane w NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Poniżej znajduje się lista CVE zidentyfikowanych przez skaner zabezpieczeń.
CVE-2020-35452
Serwer HTTP Apache w wersjach od 2.4.0 do 2.4.46 — specjalnie przygotowany skrypt Digest nonce może spowodować przepełnienie stosu w mod_auth_digest. Nie ma raportu o tym, że przepełnienie jest możliwe do wykorzystania, ani że zespół serwera Apache HTTP może je utworzyć, chociaż niektóre konkretne opcje kompilatora i/lub kompilacji mogą to umożliwić. Wiąże się to z ograniczonymi konsekwencjami ze względu na rozmiar (jeden bajt) i wartość (zero bajtów) przepełnienia.
CVE-2021-26691
W serwerach HTTP Apache w wersjach od 2.4.0 do 2.4.46 specjalnie przygotowany skrypt SessionHeader wysłany przez serwer źródłowy mógł spowodować przepełnienie stosu.
CVE-2021-26690
W serwerach HTTP Apache w wersjach od 2.4.0 do 2.4.46 specjalnie przygotowany nagłówek plików cookie obsługiwany przez mod_session może spowodować dereferencję i awarię wskaźnika NULL, co prowadzi do możliwej odmowy dostępu do usługi.
CVE-2020-13950
Serwer HTTP Apache w wersjach od 2.4.41 do 2.4.46 — mod_proxy_http może ulec awarii (dereferencja wskaźnika NULL) w przypadku specjalnie przygotowanych żądań wykorzystujących nagłówki Content-Length i Transfer-Encoding, co prowadzi do odmowy dostępu do usługi.
CVE-2020-13938
Serwer HTTP Apache w wersjach od 2.4.0 do 2.4.46 — nieuprawnieni użytkownicy lokalni mogą zatrzymać usługę httpd w systemie Windows.
CVE-2019-17567
Serwer HTTP Apache w wersjach od 2.4.6 do 2.4.46 — mod_proxy_wstunnel skonfigurowany na adresie URL, który niekoniecznie jest aktualizowany przez serwer źródłowy, tunelował całe połączenie niezależnie od niego, umożliwiając w ten sposób przechodzenie kolejnych żądań na tym samym połączeniu bez skonfigurowanej walidacji HTTP, uwierzytelniania lub autoryzacji.
CVE-2021-30641
Serwer HTTP Apache w wersjach od 2.4.39 do 2.4.46 — nieoczekiwane zachowanie dopasowania przy opcji „MergeSlashes OFF”.
Środowisko:
Wersja serwera NetWorker (dodatek Service Pack i kompilacja) — 19.4.0.1 kompilacja 95.
System operacyjny, na którym działa NetWorker — Oracle Linux 7.
Cause
Znany problem: [NetWorker] Eskalacja 40810 — luka w zabezpieczeniach zgłoszona w wersji Apache 2.4.46 wbudowanej w NMC
Resolution
Wspomniane CVE nie mają wpływu na NMC.
Luka w zabezpieczeniach NMC objęte problemem Powód
CVE-2020-35452 Nie Brak ładowania mod_auth_digest.
CVE-2021-26691 Nie Moduł mod_session nie jest ładowany
CVE-2021-26690 Nie Moduł mod_sessions nie jest ładowany.
CVE-2020-13950 Nie Moduł mod_proxy_http nie jest ładowany.
CVE-2020-13938 Nie Podczas korzystania z usługi gstd następuje uruchomienie/zatrzymanie http, a usługa może być uruchomiona i zatrzymana tylko przez administratora.
CVE-2019-17567 Nie Moduł mod_proxy_wstunnel nie jest ładowany.
CVE-2021-30641 Nie Moduł mod_proxy nie jest ładowany.
Luka w zabezpieczeniach NMC objęte problemem Powód
CVE-2020-35452 Nie Brak ładowania mod_auth_digest.
CVE-2021-26691 Nie Moduł mod_session nie jest ładowany
CVE-2021-26690 Nie Moduł mod_sessions nie jest ładowany.
CVE-2020-13950 Nie Moduł mod_proxy_http nie jest ładowany.
CVE-2020-13938 Nie Podczas korzystania z usługi gstd następuje uruchomienie/zatrzymanie http, a usługa może być uruchomiona i zatrzymana tylko przez administratora.
CVE-2019-17567 Nie Moduł mod_proxy_wstunnel nie jest ładowany.
CVE-2021-30641 Nie Moduł mod_proxy nie jest ładowany.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.