检测

MagicLinux 3 httpd-2.2.3-76.0.1.AXS3 (AXSA:2013-45:01)

medium Nessus 插件 ID 289813

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程 MagicLinux 3 主机上存在安装的程序包该程序包受到 AXSA:2013-45:01 公告中提及的多个漏洞的影响。

 Apache HTTP Server 是一款强大、有效且可延伸的网页服务器。
 此版本修复的安全问题
 CVE-2008-04552.2.6 ] Apache HTTP Server 中的 mod_negotiation 模块存在跨站脚本 (XSS) 漏洞系列的 2.2.x ] 和更早版本、 2.0.x 系列的 2.0.61 和更早版本以及 [ 1.3.x 系列的 1.3.39 和更早版本允许未经身份验证的远程用户注入任意 Web 脚本或 HTML方法是上传名称包含 XSS 序列和文件扩展名的文件从而导致在扩展名为在文件请求中缺少文件。
 1.3.39 在 2.2.6 Apache 2.0.61 HTTP Server 1.3.x 中 2.2.x mod_negotiation模块的CVE-2008-0456 CRLF 注入漏洞可让经过认证的远程 2.0.x 用户注入漏洞任意 HTTP 标头执行 HTTP 响应拆分攻击的方法是上传具有包含 HTTP 标头序列和文件扩展名的多行名称的文件从而导致在文件请求中遗漏了扩展名。
 CVE-2012-2687 在 Apache HTTP Server 之前的 2.4.x 中mod_negotiation 模块的 mod_negotiation.c 的 make_variant_list 函数中存在多种跨站脚本 (XSS) 漏洞 2.4.3之前当 MultiViews 选项启用时可允许远程攻击者注入任意 Web 脚本或HTML 通过构建的文件名在构建变体列表的过程中未得到正确处理。
 修复的缺陷:
 以前没有在为 mod_ssl 程序包运行 %post 脚本之前检查 /etc/pki/tls/private/localhost.key 的有效性如果 /etc/pki/tls/certs/localhost.crt 不存在且 localhost。密钥存在但无效使用 mod_ssl 升级 httpd 失败。此问题已得到修复。
 添加了修补程序以在 FIPS 模式下运行时禁用 mod_ssl 模块中的 non-FIPS 功能以便 httpd 在 FIPS 模式下按预期启动。
 以前httpd 退出代码不符合 LSB。已修复此问题httpd 现在返回 1 作为存在状态代码。
 已修复长区块行32 字节或更多的处理。
 修复了 304 情况的标头合并。
 修复了在代理设置中运行时的响应行字符串处理以便不具有描述字符串的响应行能够正确返回客户端。
 以前mod_mem_cache 模块中的缺陷在中止 HTTP 连接时可导致缓存实体损坏。此问题已得到修复。
 增强:
 添加了对 LDAPReferrals 配置指令的支持。
 mod_proxy_ajp 模块现在支持 ProxyErrorOverride 指令。现在如果 /etc/sysconfig/httpd-disable-posttrans 文件存在程序包升级之后 %posttrans 小脚本不会自动重新启动 httpd 服务。
 httpd -S 的输出现在包括每个虚拟主机的配置别名。
 使用 _DN_userID如 SSL_CLIENT_S_DN_userID的 mod_ssl 现在暴露新的证书变量名称。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/3666

插件详情

严重性: Medium

ID: 289813

文件名: miracle_linux_AXSA-2013-45.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2008-0455

CVSS v3

风险因素: Medium

基本分数: 5.4

时间分数: 4.9

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:mod_ssl, p-cpe:/a:miracle:linux:httpd, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:httpd-devel, p-cpe:/a:miracle:linux:httpd-manual

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/1/25

漏洞发布日期: 2008/1/21

参考资料信息

CVE: CVE-2008-0455, CVE-2008-0456, CVE-2012-2687