检测

MagicLinux 4 httpd-2.2.15-45.0.1.AXS4 (AXSA:2015-347:01)

high Nessus 插件 ID 288961

语言:

简介

远程iraclelinux 主机缺少安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2015-347:01 公告中提及的漏洞的影响。

 Apache HTTP Server 是一款强大、有效且可延伸的网页服务器。
 此版本修复的安全问题
 CVE-2013-5704 Apache HTTP Server 2.2.22 中的 mod_headers 模块允许远程攻击者通过将标头放在用分块传输编码发送的数据的尾部从而绕过 RequestHeader unset 指令。注意:供应商声称这在 httpd 中并不构成安全问题。
 修复的缺陷:
 * 重新加载 httpd 配置之后,未对 mod_proxy 线程的顺序进行检查。删除、添加 mod_proxy 线程或更改其顺序时,其参数和分数可能会混合。通过此更新已在配置重新加载期间在内部使 mod_proxy 工作线程的顺序保持一致。
 * 首次启动时创建的本地主机证书包含 CA 扩展,导致 httpd 服务返回警告消息。此缺陷已修复。
 * 默认 mod_ssl 配置不再支持使用单个 DES、IDEA 或 SEED 加密算法的 SSL 加密套件。
 * 在平稳的重新启动过程中,apachectl 脚本未考虑 /etc/sysconfig/httpd 文件中设置的 HTTPD_LANG 变量。因此,后台程序平稳重新启动时,httpd 未使用 HTTPD_LANG 的变更值。
 为了修复此缺陷修复了 脚本以正确处理 HTTPD_LANG 变量。
 * 提取文件大于 4 GB 时,mod_deflate 模块无法检查原始文件大小,因此无法提取大型文件。此更新已修复该问题。
 * httpd 服务未在重新启动前检查配置。如果配置中包含错误,则将导致平稳重新启动 httpd 的尝试失败。
 此更新已修复该问题。
 * 使用 SSLVerifyClient optional_no_ca 和 SSLSessionCache 选项时错误地处理 SSL_CLIENT_VERIFY 环境变量。当恢复 SSL 会话时SSL_CLIENT_VERIFY 值设置为 SUCCESS而不是之前设置的 GENEROUS。现在在此情况下,SSL_CLIENT_VERIFY 已正确设置为 GENEROUS。
 * 读取某些数据之后 SSL 连接将会关闭,ab 实用工具未正确处理此情况。因此ab 无法在 SSL 服务器上正常工作并打印 SSL 读取失败的错误消息。此更新已修复所描述的缺陷。
 * 当客户端提供已撤销的证书时,仅在调试级别创建日志条目。与已撤销证书相关的消息日志级别已提升到 INFO,且现在将向管理员正确通知此情况。
 增强:
 * 现在可以使用 balancer-manager web 界面或 httpd 配置文件将 mod_proxy 工作线程设置为漏模式 (N)。漏模式下的工作线程仅接受针对其自身的现有粘着会话并忽略其他所有请求。工作线程会一直等到当前连接到此工作线程的所有客户端完成其工作,然后才会停止。因此,通过漏模式可以对工作线程进行维护,同时不会影响客户端。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/5693

插件详情

严重性: High

ID: 288961

文件名: miracle_linux_AXSA-2015-347.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: Low

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2013-5704

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:mod_ssl, p-cpe:/a:miracle:linux:httpd, p-cpe:/a:miracle:linux:httpd-tools, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:httpd-devel, p-cpe:/a:miracle:linux:httpd-manual

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/8/12

漏洞发布日期: 2013/10/19

参考资料信息

CVE: CVE-2013-5704