NMC'de yerleşik olarak bulunan Apache 2.4.46'da Güvenlik Açığı bildirildi
Summary: NMC'de yerleşik olarak bulunan Apache 2.4.46'da Güvenlik Açığı bildirildi. Tenable Nessus, Apache 2.4.46'da güvenlik açıkları buldu. Apache 2.4.46, NetWorker Management Console'a yerleşiktir. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Aşağıda güvenlik tarayıcısı tarafından tanımlanan CVE'lerin listesi verilmiştir.
CVE-2020-35452
Apache HTTP Sunucusu 2.4.0 ila 2.4.46 sürümlerinde özel olarak hazırlanmış tek seferlik İzin anahtarı, mod_auth_digest modülünde yığın taşmasına neden olabilir. Bu taşma durumundan faydalanılabileceğine dair bir rapor mevcut değildir. Apache HTTP Sunucusu ekibi de böyle bir rapor oluşturamamıştır. Ancak taşmanın boyutuna (tek bir bayt) ve değerine (sıfır bayt) bakıldığında her ne kadar sınırlı sonuçlar elde edilecek olsa da belirli bir derleyici ve/veya derleme seçeneği bunu mümkün kılabilir
CVE-2021-26691
Apache HTTP Sunucusu 2.4.0 ila 2.4.46 sürümlerinde kaynak sunucu tarafından gönderilen ve özel olarak hazırlanmış bir SessionHeader, yığın taşmasına neden olabilir
CVE-2021-26690
Apache HTTP Sunucusu 2.4.0 ila 2.4.46 sürümleri mod_session tarafından işlenen ve özel olarak hazırlanmış bir Çerez başlığı, NULL durumdaki bir imlecin referansının kaldırılmasına ve çökmesine neden olarak olası bir Hizmet Reddine yol açabilir
CVE-2020-13950
Apache HTTP Sunucusu 2.4.41 ila 2.4.46 sürümlerinde mod_proxy_http modülünün, hem Content-Length hem de Transfer-Encoding başlıkları kullanılarak özel olarak hazırlanmış istekler ile çökmesi (NULL imlecinin referansının kaldırılması) sağlanabilir ve bu da bir Hizmet Reddine yol açabilir
CVE-2020-13938
Apache HTTP Sunucusu 2.4.0 ila 2.4.46 sürümlerinde Ayrıcalıksız yerel kullanıcılar, Windows'da httpd'yi durdurabilir
CVE-2019-17567
Apache HTTP Sunucusu 2.4.6 ila 2.4.46 sürümlerinde özellikle kaynak sunucu tarafından Yükseltilmemiş olan bir URL üzerinde yapılandırılan mod_proxy_wstunnel, bunlardan bağımsız olarak tüm bağlantıda tünel oluşturarak aynı bağlantı üzerindeki diğer isteklerini, muhtemelen yapılandırılmış HTTP doğrulaması, kimlik doğrulaması veya yetkilendirme olmadan geçmesine olanak tanıyordu.
CVE-2021-30641
Apache HTTP Sunucusu 2.4.39 ila 2.4.46 sürümlerinde "MergeSlashes OFF" (MergeSlashes KAPALI) ile beklenmedik eşleşen davranış
Ortam:
NetWorker sunucu sürümü (servis paketi ve derleme) – 19.4.0.1 derleme 95
NetWorker'ın çalıştığı İşletim Sistemi – Oracle Linux 7
Cause
Bilinen sorun: [NetWorker] İlerletme 40810 - NMC'de yerleşik olarak bulunan Apache 2.4.46'da Güvenlik Açığı bildirildi
Resolution
Belirtilen CVE'lerin NMC üzerinde herhangi bir etkisi yoktur.
Güvenlik Açığı NMC etkilenme durumu Neden
CVE-2020-35452 Hayır mod_auth_digest yüklü değil.
CVE-2021-26691 Hayır mod_session modülü yüklü değil
CVE-2021-26690 Hayır mod_sessions modülü yüklü değil.
CVE-2020-13950 Hayır mod_proxy_http modülü yüklü değil.
CVE-2020-13938 Hayır gstd hizmeti kullanılarak http başlatma/durdurma işlemi gerçekleştirilir ve bu hizmet yalnızca Yönetici kullanıcı kullanılarak başlatılabilir ve durdurulabilir.
CVE-2019-17567 Hayır mod_proxy_wstunnel modülü yüklü değil.
CVE-2021-30641 Hayır mod_proxy modülü yüklü değil.
Güvenlik Açığı NMC etkilenme durumu Neden
CVE-2020-35452 Hayır mod_auth_digest yüklü değil.
CVE-2021-26691 Hayır mod_session modülü yüklü değil
CVE-2021-26690 Hayır mod_sessions modülü yüklü değil.
CVE-2020-13950 Hayır mod_proxy_http modülü yüklü değil.
CVE-2020-13938 Hayır gstd hizmeti kullanılarak http başlatma/durdurma işlemi gerçekleştirilir ve bu hizmet yalnızca Yönetici kullanıcı kullanılarak başlatılabilir ve durdurulabilir.
CVE-2019-17567 Hayır mod_proxy_wstunnel modülü yüklü değil.
CVE-2021-30641 Hayır mod_proxy modülü yüklü değil.
Article Properties
Article Number: 000190061
Article Type: Solution
Last Modified: 02 Feb 2022
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.