FreeBSD:apache22 -- 多种漏洞 (f927e06c-1109-11e4-b090-20cf30e32f6d)

medium Nessus 插件 ID 76780

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Apache HTTP SERVER PROJECT 报告:

mod_deflate:DEFLATE 输入过滤器(可导致请求正文膨胀)现在限定了已膨胀请求正文的长度和压缩比率,以避免高度压缩的正文所导致的拒绝服务。请参阅指令 DeflateInflateLimitRequestBody、DeflateInflateRatioLimit 和 DeflateInflateRatioBurst。

mod_cgid:修复了针对不消耗 stdin 的 CGI 脚本的拒绝服务,该缺陷可导致延迟 HTTPD 子进程填满记分板并最终导致服务器挂起。在默认情况下,客户端 I/O 超时(超时指令)现在适用于与脚本进行通信。CGIDScriptTimeout 指令可用于为与脚本进行的通信设置不同的超时。

修复了可能导致堆缓冲区溢出的记分板处理中的争用条件。

核心:HTTP 尾部可用于之后在请求处理期间替换 HTTP 标头,这样可能导致撤销或混淆之前检查或修改请求标头的模块。添加“MergeTrailers”指令以恢复传统行为。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?dc305eeb

插件详情

严重性: Medium

ID: 76780

文件名: freebsd_pkg_f927e06c110911e4b09020cf30e32f6d.nasl

版本: 1.11

类型: local

发布时间: 2014/7/25

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:apache22, p-cpe:/a:freebsd:freebsd:apache22-event-mpm, p-cpe:/a:freebsd:freebsd:apache22-itk-mpm, p-cpe:/a:freebsd:freebsd:apache22-peruser-mpm, p-cpe:/a:freebsd:freebsd:apache22-worker-mpm, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/7/24

漏洞发布日期: 2014/7/19

参考资料信息

CVE: CVE-2013-5704, CVE-2014-0118, CVE-2014-0226, CVE-2014-0231