Amazon Linux AMI:httpd24 (ALAS-2015-579)

medium Nessus 插件 ID 85452

简介

远程 Amazon Linux AMI 主机缺少安全更新。

描述

已发现在 httpd 2.4 中,内部 API 函数 ap_some_auth_required() 可能在未使用认证的情况下错误地指出请求已认证。使用此 API 函数的 httpd 模块可因此允许本应拒绝的访问。(CVE-2015-3185)

在 httpd 使用分块传输编码解析 HTTP 请求和响应的方式中发现多种缺陷。远程攻击者可使用这些缺陷创建特别构建的请求,在该请求前 httpd 将以不同于解码 HTTP 代理软件的方式对其进行解码,从而可能导致 HTTP request smuggling 攻击。(CVE-2015-3183)

在 httpd 生成特定错误消息的方式中发现空指针取消引用缺陷。远程攻击者可能利用此缺陷,借助触发特定 HTTP 错误的请求来使 httpd 子进程崩溃。(CVE-2015-0253)

在 mod_lua httpd 模块处理某些 WebSocket Ping 请求的方式中发现拒绝服务缺陷。远程攻击者可发送特别构建的 WebSocket Ping 数据包,这会导致 httpd 子进程崩溃。(CVE-2015-0228)

解决方案

请运行“yum update httpd24”更新系统。

另见

https://alas.aws.amazon.com/ALAS-2015-579.html

插件详情

严重性: Medium

ID: 85452

文件名: ala_ALAS-2015-579.nasl

版本: 2.4

类型: local

代理: unix

发布时间: 2015/8/18

最近更新时间: 2018/4/18

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:amazon:linux:httpd24, p-cpe:/a:amazon:linux:httpd24-debuginfo, p-cpe:/a:amazon:linux:httpd24-devel, p-cpe:/a:amazon:linux:httpd24-manual, p-cpe:/a:amazon:linux:httpd24-tools, p-cpe:/a:amazon:linux:mod24_ldap, p-cpe:/a:amazon:linux:mod24_proxy_html, p-cpe:/a:amazon:linux:mod24_session, p-cpe:/a:amazon:linux:mod24_ssl, cpe:/o:amazon:linux

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

补丁发布日期: 2015/8/17

参考资料信息

CVE: CVE-2015-0228, CVE-2015-0253, CVE-2015-3183, CVE-2015-3185

ALAS: 2015-579