EulerOS Virtualization for ARM 64 3.0.3.0:httpd (EulerOS-SA-2019-2311)
high Nessus 插件 ID 131476
语言:
简介
远程 EulerOS Virtualization for ARM 64 主机缺少多个安全更新。描述
根据安装的 httpd 程序包版本,远程主机上的 EulerOS Virtualization for ARM 64 安装会受到下列漏洞影响:- 在 2.4.17 到 2.4.34 的 Apache HTTP Server 中通过发送持续大型的 SETTINGS 帧,客户端可占用连接、服务器线程和 CPU 时间,而不会出现超时连接。此问题仅影响 HTTP/2 连接。不启用 h2 协议可能缓解此问题。(CVE-2018-11763) - 在具有 MPM 事件的 Apache HTTP Server 2.4 的 2.4.17 至 2.4.38 版中,worker 或 prefork(在权限较低的子进程或线程中执行的代码,包括进程内脚本解释器执行的脚本)可通过操控记分板的方式,以父进程的权限(通常是 root)执行任意代码。Non-Unix 系统不受影响。(CVE-2019-0211) - 在 2.4.37 和更早的 Apache HTTP 服务器版本中,通过缓慢的方式向普通资源发送请求正文,该请求的 h2 流会不必要地占用服务器线程,进而清理传入的数据。这仅会影响 HTTP/2 (mod_http2) 连接。(CVE-2018-17189) - 在 Apache HTTP Server 2.4 的 2.4.37 和 2.4.38 版中,当使用 TLSv1.3 进行每位置客户端证书验证时,mod_ssl 中的错误允许客户端绕过已配置的访问控制限制。(CVE-2019-0215) - 在 Apache HTTP Server 2.4.0 到 2.4.38 中发现一个漏洞。若请求 URL 的路径组件含有多个连续斜线(“/”),则如 LocationMatch 和 RewriteRule 之类的指令必须解释正则表达式中的重复项目,而服务器处理的其他方面则会暗中对其进行折叠。(CVE-2019-0220) 请注意,Tenable Network Security 已直接从 EulerOS 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。解决方案
更新受影响的 httpd 程序包。另见
插件详情
严重性: High
ID: 131476
文件名: EulerOS_SA-2019-2311.nasl
版本: 1.9
类型: local
发布时间: 2019/12/3
最近更新时间: 2023/4/25
支持的传感器: Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.2
时间分数: 6
矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2019-0211
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 7.2
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:huawei:euleros:httpd, p-cpe:/a:huawei:euleros:httpd-filesystem, p-cpe:/a:huawei:euleros:httpd-tools, p-cpe:/a:huawei:euleros:mod_ssl, cpe:/o:huawei:euleros:uvp:3.0.3.0
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/EulerOS/release, Host/EulerOS/rpm-list, Host/EulerOS/uvp_version
可利用: true
易利用性: Exploits are available
补丁发布日期: 2019/12/3
CISA 已知可遭利用的漏洞到期日期: 2022/5/3
参考资料信息
CVE: CVE-2018-11763, CVE-2018-17189, CVE-2019-0211, CVE-2019-0215, CVE-2019-0220