Säkerhetsproblem som rapporteras i Apache 2.4.46 inbäddat i NMC
Summary: Säkerhetsproblem som rapporteras i Apache 2.4.46 inbäddat i NMC. Tenable Nessus hittade säkerhetsproblem i Apache 2.4.46. Apache 2.4.46 är inbäddad i NetWorker Management Console.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nedan finns en lista över de CVE:er som identifieras av säkerhetsskannern.
CVE-2020-35452
Apache HTTP-serverversionerna 2.4.0 till 2.4.46 En särskilt utformad digest-nonce kan orsaka stacköverflyttning i mod_auth_digest. Det finns ingen rapport om att det här överflödet kan utnyttjas och apache HTTP-serverteamet kan inte skapa något, även om vissa specifika kompilator- och/eller kompileringsalternativ kan göra det möjligt, med begränsade konsekvenser ändå på grund av storleken (en enda byte) och värdet (noll byte) av överflödet
CVE-2021-26691
I Apache HTTP-serverversionerna 2.4.0 till 2.4.46 kan en särskilt utformad SessionHeader som skickas av en ursprungsserver orsaka heap-spill
CVE-2021-26690
Apache HTTP-serverversionerna 2.4.0 till 2.4.46 Ett särskilt utformat cookie-huvud som hanteras av mod_session kan orsaka en NULL-pekaravreferens och krasch, vilket kan leda till att tjänsten nekas
CVE-2020-13950
Apache HTTP-serverversionerna 2.4.41 till 2.4.46 mod_proxy_http kan göras till krasch (NULL-pekaravreferens) med särskilt utformade begäranden med både innehållslängd och överföring-encoding-huvuden, vilket leder till nekad tjänst
CVE-2020-13938Apache
HTTP-serverversionerna 2.4.0 till 2.4.46 Oprivilegierade lokala användare kan stoppa httpd på Windows
CVE-2019-17567
Apache HTTP-serverversionerna 2.4.6 till 2.4.46 mod_proxy_wstunnel konfigurerade på en URL-adress som inte nödvändigtvis har uppgraderats av ursprungsservern tunnlade hela anslutningen oavsett, vilket gjorde att efterföljande förfrågningar om samma anslutning kunde genomföras utan någon HTTP-validering, autentisering eller möjlig konfigurering.
CVE-2021-30641
Apache HTTP Server version 2.4.39 till 2.4.46 Oväntat matchande beteende med "MergeSlashes OFF"
Miljö:
NetWorker-serverversion (Service Pack och bygge) – 19.4.0.1 build 95Operating
System where the NetWorker is running – Oracle Linux 7
Cause
Känt problem: [NetWorker] Eskalering 40810 – säkerhetsproblem rapporteras i Apache 2.4.46 inbäddat i NMC
Resolution
De CVE som nämns påverkar inte NMC.
Säkerhetsproblem Med NMC påverkas Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 Ingen mod_session-modul läses inte in
CVE-2021-26690 Ingen mod_sessions-modul läses inte in.
CVE-2020-13950 Ingen mod_proxy_http-modul läses inte in.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 Ingen mod_proxy_wstunnel-modul läses inte in.
CVE-2021-30641 Ingen mod_proxy modul läses inte in.
Säkerhetsproblem Med NMC påverkas Reason
CVE-2020-35452 No mod_auth_digest is not loaded.
CVE-2021-26691 Ingen mod_session-modul läses inte in
CVE-2021-26690 Ingen mod_sessions-modul läses inte in.
CVE-2020-13950 Ingen mod_proxy_http-modul läses inte in.
CVE-2020-13938 No Http start/stop happens using gstd service and that service can only be started and stopped using Admin user.
CVE-2019-17567 Ingen mod_proxy_wstunnel-modul läses inte in.
CVE-2021-30641 Ingen mod_proxy modul läses inte in.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.