报告 NMC 内嵌入的 Apache 2.4.46 中存在的安全漏洞
Summary: 报告 NMC 内嵌入的 Apache 2.4.46 中存在的安全漏洞。Tenable Nessus 在 Apache 2.4.46 中发现了安全漏洞。Apache 2.4.46 嵌入在 NetWorker Management Console 中。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
以下是安全扫描程序确定的 CVE 的列表。
CVE-2020-35452
在 Apache HTTP Server 版本 2.4.0 至 2.4.46 中,特制的摘要随机数可能会导致 mod_auth_digest 中的堆栈溢出。没有关于此溢出可利用的报告,Apache HTTP Server 团队也无法创建此报告,尽管某些特定的编译器和/或编译选项可能会使其成为可能,但由于溢出的大小(单个字节)和值(零字节)的缘故,后果有限
CVE-2021-26691
在 Apache HTTP Server 版本 2.4.0 至 2.4.46 中,由源服务器发送的特制 SessionHeader 可能会导致堆溢出
CVE-2021-26690
在 Apache HTTP Server 版本 2.4.0 至 2.4.46 中,由 mod_session 处理的特制 Cookie 标头可能会造成空指针取消引用并崩溃,从而导致出现可能的拒绝服务
CVE-2020-13950
在 Apache HTTP Server 版本 2.4.41 至 2.4.46 中,采用 Content-Length 和 Transfer-Encoding 标头的特制请求可以使 mod_proxy_http 崩溃(空指针取消引用),从而导致拒绝服务
CVE-2020-13938
在 Apache HTTP Server 版本 2.4.0 至 2.4.46 中,非特权的本地用户可以停止 Windows 上的 httpd
CVE-2019-17567
在 Apache HTTP Server 版本 2.4.6 至 2.4.46 中,在不一定由源服务器升级的 URL 上配置的 mod_proxy_wstunnel 无论如何都会通过隧道传输整个连接,从而允许同一连接上的后续请求在可能尚未配置 HTTP 验证、身份验证或授权的情况下顺利通过。
CVE-2021-30641
在 Apache HTTP Server 版本 2.4.39 至 2.4.46 中,在“MergeSlashes OFF”的情况下,发生意外的匹配行为
环境:
NetWorker 服务器版本(服务包和内部版本)– 19.4.0.1 内部版本 95
运行 NetWorker 的操作系统 – Oracle Linux 7
Cause
已知问题:[NetWorker] 上报 40810 - 报告 NMC 内嵌入的 Apache 2.4.46 中存在的安全漏洞
Resolution
提到的 CVE 对 NMC 没有影响。
漏洞 NMC 是否受影响 原因
CVE-2020-35452 否 mod_auth_digest 未加载。
CVE-2021-26691 否 mod_session 模块未加载
CVE-2021-26690 否 mod_sessions 模块未加载。
CVE-2020-13950 否 mod_proxy_http 模块未加载。
CVE-2020-13938 否 Http 启动/停止凑巧正在使用 gstd 服务,并且该服务只能通过管理员用户启动和停止。
CVE-2019-17567 否 mod_proxy_wstunnel 模块未加载。
CVE-2021-30641 否 mod_proxy 模块未加载。
漏洞 NMC 是否受影响 原因
CVE-2020-35452 否 mod_auth_digest 未加载。
CVE-2021-26691 否 mod_session 模块未加载
CVE-2021-26690 否 mod_sessions 模块未加载。
CVE-2020-13950 否 mod_proxy_http 模块未加载。
CVE-2020-13938 否 Http 启动/停止凑巧正在使用 gstd 服务,并且该服务只能通过管理员用户启动和停止。
CVE-2019-17567 否 mod_proxy_wstunnel 模块未加载。
CVE-2021-30641 否 mod_proxy 模块未加载。
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.