Уязвимость системы безопасности, о которой сообщается в Apache 2.4.46, встроенной в NMC
Summary: Уязвимость системы безопасности, о которой сообщается в Apache 2.4.46, встроенной в NMC. Tenable Nessus обнаружил уязвимости безопасности в Apache 2.4.46. Apache 2.4.46 встроен в консоль управления NetWorker. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Ниже приведен список CVE, идентифицированных сканером системы безопасности.
CVE-2020-35452
Apache HTTP Server версий 2.4.0-2.4.46 Особым образом созданная одноразовая выборка может вызвать переполнение стека в mod_auth_digest. Сообщений о том, что это переполнение является эксплойтом, не поступало, и команда Apache HTTP Server не могла создать его, хотя некоторые компиляторы и/или параметры компиляции могут сделать это возможным, с ограниченными последствиями в любом случае из-за размера (один байт) и значения (нулевой байт) переполнения
CVE-2021-26691
В Apache HTTP Server версий с 2.4.0 по 2.4.46 особым образом созданный SessionHeader, отправленный сервером-источником, может вызвать переполнение неупорядоченными данными
CVE-2021-26690
Apache HTTP Server версий с 2.4.0 по 2.4.46 специально созданный заголовок файла cookie, обрабатываемый mod_session, может вызвать отклонение и сбой пустого указателя, что может привести к отказу в обслуживании
CVE-2020-13950
Сервер Apache HTTP версий 2.4.41–2.4.46: может быть вызван сбой mod_proxy_http (отклонение пустого указателя) со специально созданными запросами с использованием заголовков Content-Length и Transfer-Encoding, что приводит к отказу в обслуживании
CVE-2020-13938
Apache HTTP Server версий с 2.4.0 по 2.4.46: непривилегированные локальные пользователи могут остановить httpd в Windows
CVE-2019-17567
Сервер Apache HTTP версий с 2.4.6 по 2.4.46: mod_proxy_wstunnel, настроенный по URL-адресу, который не обязательно модернизируется сервером-источником, туннелировал соединение полностью, таким образом, последующие запросы на то же соединение могут проходить без проверки HTTP, проверки подлинности или авторизации, которые могли быть настроены.
CVE-2021-30641
Сервер Apache HTTP версий 2.4.39–2.4.46 — неожиданное совпадение поведения с «MergeSlashes OFF»
Условия эксплуатации.
Версия сервера NetWorker (пакет обновления и сборка) — 19.4.0.1 сборка 95
Операционная система, в которой работает NetWorker — Oracle Linux 7
Cause
Известная проблема. [NetWorker] Escalation 40810 — Уязвимость системы безопасности, о которой сообщается в Apache 2.4.46, встроенной в NMC
Resolution
Упомянутые CVE не влияют на NMC.
Уязвимость Затронутая NMC Причина
CVE-2020-35452 Нет mod_auth_digest не загружается.
CVE-2021-26691 Нет Модуль mod_session не загружен
CVE-2021-26690 Нет Модуль mod_sessions не загружен.
CVE-2020-13950 Нет Модуль mod_proxy_http не загружен.
CVE-2020-13938 Нет Запуск/остановка HTTP происходит с помощью службы gstd, и эту службу можно запустить и остановить только с помощью пользователя Admin.
CVE-2019-17567 Нет Модуль mod_proxy_wstunnel не загружен.
CVE-2021-30641 Нет Модуль mod_proxy не загружен.
Уязвимость Затронутая NMC Причина
CVE-2020-35452 Нет mod_auth_digest не загружается.
CVE-2021-26691 Нет Модуль mod_session не загружен
CVE-2021-26690 Нет Модуль mod_sessions не загружен.
CVE-2020-13950 Нет Модуль mod_proxy_http не загружен.
CVE-2020-13938 Нет Запуск/остановка HTTP происходит с помощью службы gstd, и эту службу можно запустить и остановить только с помощью пользователя Admin.
CVE-2019-17567 Нет Модуль mod_proxy_wstunnel не загружен.
CVE-2021-30641 Нет Модуль mod_proxy не загружен.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.