Beveiligingslek gemeld in Apache 2.4.46 geïntegreerd in NMC
Summary: Beveiligingslek gemeld in Apache 2.4.46 geïntegreerd in NMC. Nessus heeft beveiligingslekken gevonden in Apache 2.4.46. Apache 2.4.46 is geïntegreerd in de NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Hieronder vindt u de lijst met CVE's die door de beveiligingsscanner zijn geïdentificeerd.
CVE-2020-35452
Apache HTTP Server versies 2.4.0 t/m 2.4.46 Een speciaal vervaardigde Stack Nonce kan leiden tot een stackoverflow in mod_auth_digest. Er wordt niet gerapporteerd dat deze overloop exploiteerbaar is, noch dat het Apache HTTP Server-team er een kan maken, hoewel een bepaalde compiler- en/of compilatieoptie dit mogelijk maakt, met beperkte gevolgen als gevolg van de grootte (een enkele byte) en de waarde (nul byte) van de overloop
CVE-2021-26691
In Apache HTTP Server versies 2.4.0 t/m 2.4.46 kan een speciaal gemaakte SessionHeader die is verzonden door een origin-server leiden tot een heap-overflow
CVE-2021-26690
Apache HTTP Server versies 2.4.0 t/m 2.4.46 Een speciaal vervaardigde cookie-header die door mod_session wordt verwerkt, kan leiden tot een NULL-aanwijzerdeductie en crash, wat kan leiden tot een mogelijke Denial of Service
CVE-2020-13950
Apache HTTP Server versies 2.4.41 t/m 2.4.46 mod_proxy_http kunnen worden gemaakt om te crashen (NULL pointer dereference) met speciaal gemaakte aanvragen met zowel Content-Length als Transfer-Encoding headers, wat leidt tot een Denial of Service
CVE-2020-13938Apcloud
HTTP Server versies 2.4.0 t/m 2.4.46 Ongeprivilegeerde lokale gebruikers kunnen httpd stoppen op Windows
CVE-2019-17567
Apache HTTP Server versies 2.4.6 t/m 2.4.46 mod_proxy_wstunnel geconfigureerd op een URL die niet noodzakelijkerwijs is geüpgraded door de origin-server, waarbij de hele verbinding wordt getunneld, waardoor latere aanvragen op dezelfde verbinding kunnen worden uitgevoerd zonder dat ER HTTP-validatie, authenticatie of autorisatie mogelijk is geconfigureerd.
CVE-2021-30641
Apache HTTP Server versies 2.4.39 t/m 2.4.46 Onverwacht overeenkomend gedrag met 'MergeSlashes OFF'
Omgeving:
NetWorker serverversie (service pack en build) – 19.4.0.1 build 95Operating
System where the NetWorker is running – Oracle Linux 7
Cause
Bekend probleem: [NetWorker] Escalatie 40810 - Beveiligingslek gemeld in Apache 2.4.46 geïntegreerd in NMC
Resolution
De genoemde CVE's hebben geen invloed op de NMC.
Beveiligingslek NMC getroffen reden
CVE-2020-35452 Geen mod_auth_digest wordt niet geladen.
CVE-2021-26691 Geen mod_session module wordt niet geladen
CVE-2021-26690 Er wordt geen mod_sessions module geladen.
CVE-2020-13950 Er wordt geen mod_proxy_http module geladen.
CVE-2020-13938 Er vindt geen http start/stop plaats met behulp van de gstd-service en die service kan alleen worden gestart en gestopt met behulp van de admingebruiker.
CVE-2019-17567 Er wordt geen mod_proxy_wstunnel module geladen.
CVE-2021-30641 Er wordt geen mod_proxy module geladen.
Beveiligingslek NMC getroffen reden
CVE-2020-35452 Geen mod_auth_digest wordt niet geladen.
CVE-2021-26691 Geen mod_session module wordt niet geladen
CVE-2021-26690 Er wordt geen mod_sessions module geladen.
CVE-2020-13950 Er wordt geen mod_proxy_http module geladen.
CVE-2020-13938 Er vindt geen http start/stop plaats met behulp van de gstd-service en die service kan alleen worden gestart en gestopt met behulp van de admingebruiker.
CVE-2019-17567 Er wordt geen mod_proxy_wstunnel module geladen.
CVE-2021-30641 Er wordt geen mod_proxy module geladen.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.