SUSE SLED15 / SLES15 安全更新:apache2 (SUSE-SU-2019:0873-1)
high Nessus 插件 ID 123782
语言:
简介
远程 SUSE 主机缺少一个或多个安全更新。描述
针对 apache2 的这项更新修复下列问题:CVE-2019-0211:Apache HTTP 服务器中的一个缺陷允许权限较低的子进程或线程,使用父进程的权限执行任意代码。能够控制由服务器运行之 CGI 脚本或扩展模块的攻击者,可以滥用此问题而可能得到超级用户权限。[bsc#1131233] CVE-2019-0220:Apache HTTP 服务器没有使用一致的策略,在其所有的组件中进行 URL 规范化。特别是连续斜线不一定总是折叠式。攻击者有可能绕过访问控制机制,而滥用这些不一致,以此获取服务中受保护部分的未经授权的访问权限。[bsc#1131241] CVE-2019-0217:在线程服务器中运行时,Apache 的“mod_auth_digest”中的一个争用提条件,可能会允许具有有效凭据的用户,使用其他的用户名进行身份验证,进而绕过已配置的访问控制限制。[bsc#1131239] CVE-2019-0197:如果在 Apache 服务器中,为“http”主机启用了 HTTP/2 支持,或是在“https”主机上为 h2 启用了 H2Upgrade,则该连接中非第一次请求的 http/1.1 到 http/2 升级请求,可能会导致配置错误和崩溃。此问题可能受到滥用,以装载拒绝服务攻击。从未启用 h2 通讯协议的服务器,或仅为 https:启用而并未配置“H2Upgrade on”的服务器,则不受影响。[bsc#1131245] CVE-2019-0196:通过特制的网络输入,Apache 的 http/2 请求处理程序可能会在决定请求方式时,被引导至访问之前释放的内存。这会造成请求被错误分类,而受到不正确的处理。[bsc#1131237] 请注意,Tenable Network Security 已直接从 SUSE 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。解决方案
若要安装此 SUSE 安全更新,请使用 SUSE 建议的安装方式,如 YaST online_update 或“zypper 修补程序”。或者,您也可以运行针对您的产品列出的命令:SUSE Linux Enterprise Module for Server Applications 15:zypper in -t patch SUSE-SLE-Module-Server-Applications-15-2019-873=1 SUSE Linux Enterprise Module for Open Buildservice Development Tools 15:zypper in -t patch SUSE-SLE-Module-Development-Tools-OBS-15-2019-873=1另见
https://bugzilla.suse.com/show_bug.cgi?id=1131233
https://bugzilla.suse.com/show_bug.cgi?id=1131237
https://bugzilla.suse.com/show_bug.cgi?id=1131239
https://bugzilla.suse.com/show_bug.cgi?id=1131241
https://bugzilla.suse.com/show_bug.cgi?id=1131245
https://www.suse.com/security/cve/CVE-2019-0196/
https://www.suse.com/security/cve/CVE-2019-0197/
https://www.suse.com/security/cve/CVE-2019-0211/
https://www.suse.com/security/cve/CVE-2019-0217/
插件详情
严重性: High
ID: 123782
文件名: suse_SU-2019-0873-1.nasl
版本: 1.11
类型: local
代理: unix
发布时间: 2019/4/5
最近更新时间: 2023/4/25
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 6
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2019-0211
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 7.2
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:novell:suse_linux:apache2, p-cpe:/a:novell:suse_linux:apache2-debuginfo, p-cpe:/a:novell:suse_linux:apache2-debugsource, p-cpe:/a:novell:suse_linux:apache2-devel, p-cpe:/a:novell:suse_linux:apache2-event, p-cpe:/a:novell:suse_linux:apache2-event-debuginfo, p-cpe:/a:novell:suse_linux:apache2-example-pages, p-cpe:/a:novell:suse_linux:apache2-prefork, p-cpe:/a:novell:suse_linux:apache2-prefork-debuginfo, p-cpe:/a:novell:suse_linux:apache2-utils, p-cpe:/a:novell:suse_linux:apache2-utils-debuginfo, p-cpe:/a:novell:suse_linux:apache2-worker, p-cpe:/a:novell:suse_linux:apache2-worker-debuginfo, cpe:/o:novell:suse_linux:15
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2019/4/4
漏洞发布日期: 2019/4/8
CISA 已知可遭利用的漏洞到期日期: 2022/5/3
参考资料信息
CVE: CVE-2019-0196, CVE-2019-0197, CVE-2019-0211, CVE-2019-0217, CVE-2019-0220