Vulnerabilidade de segurança relatada no Apache 2.4.46 incorporado ao NMC
Summary: Vulnerabilidade de segurança relatada no Apache 2.4.46 incorporado ao NMC. A Tenable Nessus encontrou vulnerabilidades de segurança no Apache 2.4.46. O Apache 2.4.46 está incorporado ao NetWorker Management Console. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Aqui está a lista das CVEs identificadas pelo scanner de segurança.
CVE-2020-35452
Apache HTTP Server versões 2.4.0 a 2.4.46 Um nonce Digest criado especialmente pode causar um excedente de pilha em mod_auth_digest. Não há nenhum relatório sobre esse excedente sendo gerado, nem a equipe do Servidor Apache HTTP poderia criar um, embora alguma opção específica do compilador e/ou compilação possa tornar isso possível. Seja como for, as consequências são limitadas, devido ao tamanho (um único byte) e ao valor (zero byte) do excedente
CVE-2021-26691
No Apache HTTP Server versões 2.4.0 a 2.4.46 Um SessionHeader criado especialmente que foi enviado por um servidor de origem pode causar um excedente de heap
CVE-2021-26690
Apache HTTP Server versões 2.4.0 a 2.4.46 Um cabeçalho de Cookie criado especialmente e tratado pela mod_session pode causar uma desreferência e uma falha de ponteiro NULL, levando a uma possível Negação de serviço
CVE-2020-13950
Apache HTTP Server versões 2.4.41 a 2.4.46 o mod_proxy_http pode falhar (desreferência de ponteiro NULL) devido a solicitações criadas especialmente usando cabeçalhos de comprimento de conteúdo e codificação de transferência, levando a uma Negação de serviço
CVE-2020-13938
Apache HTTP Server versões 2.4.0 a 2.4.46 Os usuários locais sem privilégios podem interromper o httpd no Windows
CVE-2019-17567
Apache HTTP Server versões 2.4.6 a 2.4.46 O mod_proxy_wstunnel configurado em um URL que não recebeu necessariamente um Upgrade pelo servidor de origem estava encapsulando toda a conexão, permitindo, apesar disso, que as solicitações subsequentes na mesma conexão passassem sem validação de HTTP, autenticação ou autorização possivelmente configuradas.
CVE-2021-30641
Apache HTTP Server versões 2.4.39 a 2.4.46 Comportamento de correspondência inesperado com "MergeSlashes OFF"
Ambiente:
Versão do servidor do NetWorker (pacote de serviços e compilação) — 19.4.0.1 compilação 95
Sistema operacional em que o NetWorker está sendo executado — Oracle Linux 7
Cause
Problema conhecido: [NetWorker] Encaminhamento nº 40810 — Vulnerabilidade de segurança relatada no Apache 2.4.46 incorporado ao NMC
Resolution
As CVEs mencionadas não afetam o NMC.
Vulnerabilidade NMC afetado Motivo
CVE-2020-35452 Não O mod_auth_digest não está carregado.
CVE-2021-26691 Não O módulo mod_session não está carregado
CVE-2021-26690 Não O módulo mod_sessions não está carregado.
CVE-2020-13950 Não O módulo mod_proxy_http não está carregado.
CVE-2020-13938 Não Iniciar/interromper Http acontece ao usar o serviço gstd; esse serviço só pode ser iniciado e interrompido pelo usuário Administrador.
CVE-2019-17567 Não O módulo mod_proxy_wstunnel não está carregado.
CVE-2021-30641 Não O módulo mod_proxy não está carregado.
Vulnerabilidade NMC afetado Motivo
CVE-2020-35452 Não O mod_auth_digest não está carregado.
CVE-2021-26691 Não O módulo mod_session não está carregado
CVE-2021-26690 Não O módulo mod_sessions não está carregado.
CVE-2020-13950 Não O módulo mod_proxy_http não está carregado.
CVE-2020-13938 Não Iniciar/interromper Http acontece ao usar o serviço gstd; esse serviço só pode ser iniciado e interrompido pelo usuário Administrador.
CVE-2019-17567 Não O módulo mod_proxy_wstunnel não está carregado.
CVE-2021-30641 Não O módulo mod_proxy não está carregado.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.