RHEL 7 / 8:Red Hat JBoss Core Services Apache HTTP Server 2.4.51 (RHSA-2022: 7143)
critical Nessus 插件 ID 166564
语言:
简介
远程 Red Hat 缺少一个或多个 Red Hat JBoss Core Services Apache HTTP Server 2.4.51 安全更新。描述
远程 Redhat Enterprise Linux 7/8 主机上安装的多个程序包受到 RHSA-2022: 7143 公告中提及的多个漏洞影响。- httpd:通过 HTTP/2 方法注入和 mod_proxy 请求拆分 (CVE-2021-33193)
- 精心构建的请求 uri-path 可导致 mod_proxy_uwsgi 读取已分配内存之外的内存并崩溃 (DoS)。此问题影响 Apache HTTP Server 版本 2.4.30 至 2.4.48(含)。(CVE-2021-36160)
- 当提供恶意输入时,ap_escape_quotes() 可能会写入缓冲区末端之外。内含的模块不会向这些函数传递不受信任的数据,但第三方/外部模块可能会这样做。此问题影响 Apache HTTP Server 2.4.48 及更早版本。(CVE-2021-39275)
- httpd:在 HTTP/2 请求处理期间,通过特制的请求造成空指针取消引用 (CVE-2021-41524)
- 发送到配置为正向代理(开启“ProxyRequests”)的 httpd 的特制 URI 可能会造成崩溃(空指针取消引用),或者混合正向和反向代理声明的配置可允许将请求定向到声明的 Unix 域套接字端点(服务器端请求伪造)。此问题会影响 Apache HTTP Server 2.4.7 版至 2.4.51 版(含该版本)。(CVE-2021-44224)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新 RHEL Red Hat JBoss Core Services Apache HTTP Server 2.4.51 程序包,依据 RHSA-2022: 7143 中的指南。另见
http://www.nessus.org/u?5192e9b9
http://www.nessus.org/u?5266af54
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/errata/RHSA-2022:7143
https://bugzilla.redhat.com/show_bug.cgi?id=1966728
https://bugzilla.redhat.com/show_bug.cgi?id=2005119
https://bugzilla.redhat.com/show_bug.cgi?id=2005124
插件详情
严重性: Critical
ID: 166564
文件名: redhat-RHSA-2022-7143.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2022/10/26
最近更新时间: 2024/4/28
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-39275
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-devel, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-manual, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-selinux, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-httpd-tools, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ldap, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_proxy_html, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_session, p-cpe:/a:redhat:enterprise_linux:jbcs-httpd24-mod_ssl
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/10/26
漏洞发布日期: 2021/8/16
参考资料信息
CVE: CVE-2021-33193, CVE-2021-36160, CVE-2021-39275, CVE-2021-41524, CVE-2021-44224