Amazon Linux AMI : httpd24 (ALAS-2019-1166)

high Nessus Plugin ID 122758

Synopsis

遠端 Amazon Linux AMI 主機缺少一個安全性更新。

描述

在 Apache HTTP 伺服器中,透過緩慢的方式將要求主體傳送至普通資源,該要求的 h2 串流會非必要地佔用伺服器執行緒,從而清除內傳資料。這僅會影響 HTTP/2 (mod_http2) 連線。(CVE-2018-17189) mod_ssl 用戶端重新交涉的處理方式有一個錯誤。遠端攻擊者可傳送會造成 mod_ssl 進入迴圈的特製要求,進而導致拒絕服務。(CVE-2019-0190) 在 Apache HTTP 伺服器中,mod_session 先檢查工作階段到期時間,而後才將工作階段解碼。這會導致忽略 mod_session_cookie 工作階段的工作階段到期時間,因為到期時間是在工作階段解碼時才載入。(CVE-2018-17199)

解決方案

執行「yum update httpd24」以更新系統。

另請參閱

https://alas.aws.amazon.com/ALAS-2019-1166.html

Plugin 詳細資訊

嚴重性: High

ID: 122758

檔案名稱: ala_ALAS-2019-1166.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2019/3/12

已更新: 2020/2/5

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: AV:N/AC:L/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS 評分資料來源: CVE-2018-17199

CVSS v3

風險因素: High

基本分數: 7.5

時間分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:httpd24, p-cpe:/a:amazon:linux:httpd24-debuginfo, p-cpe:/a:amazon:linux:httpd24-devel, p-cpe:/a:amazon:linux:httpd24-manual, p-cpe:/a:amazon:linux:httpd24-tools, p-cpe:/a:amazon:linux:mod24_ldap, p-cpe:/a:amazon:linux:mod24_md, p-cpe:/a:amazon:linux:mod24_proxy_html, p-cpe:/a:amazon:linux:mod24_session, p-cpe:/a:amazon:linux:mod24_ssl, cpe:/o:amazon:linux

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2019/3/25

弱點發布日期: 2019/1/30

參考資訊

CVE: CVE-2018-17189, CVE-2018-17199, CVE-2019-0190

ALAS: 2019-1166