Amazon Linux AMI : httpd24 (ALAS-2019-1166)
high Nessus Plugin ID 122758
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。描述
在 Apache HTTP 伺服器中,透過緩慢的方式將要求主體傳送至普通資源,該要求的 h2 串流會非必要地佔用伺服器執行緒,從而清除內傳資料。這僅會影響 HTTP/2 (mod_http2) 連線。(CVE-2018-17189) mod_ssl 用戶端重新交涉的處理方式有一個錯誤。遠端攻擊者可傳送會造成 mod_ssl 進入迴圈的特製要求,進而導致拒絕服務。(CVE-2019-0190) 在 Apache HTTP 伺服器中,mod_session 先檢查工作階段到期時間,而後才將工作階段解碼。這會導致忽略 mod_session_cookie 工作階段的工作階段到期時間,因為到期時間是在工作階段解碼時才載入。(CVE-2018-17199)解決方案
執行「yum update httpd24」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 122758
檔案名稱: ala_ALAS-2019-1166.nasl
版本: 1.3
類型: local
代理程式: unix
發布日期: 2019/3/12
更新日期: 2020/2/5
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent
風險資訊
VPR
風險因素: Medium
分數: 5.1
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
時間媒介: CVSS2#E:U/RL:OF/RC:C
CVSS 評分資料來源: CVE-2018-17199
CVSS v3
風險因素: High
基本分數: 7.5
時間分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:httpd24, p-cpe:/a:amazon:linux:httpd24-debuginfo, p-cpe:/a:amazon:linux:httpd24-devel, p-cpe:/a:amazon:linux:httpd24-manual, p-cpe:/a:amazon:linux:httpd24-tools, p-cpe:/a:amazon:linux:mod24_ldap, p-cpe:/a:amazon:linux:mod24_md, p-cpe:/a:amazon:linux:mod24_proxy_html, p-cpe:/a:amazon:linux:mod24_session, p-cpe:/a:amazon:linux:mod24_ssl, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/3/25
弱點發布日期: 2019/1/30
參考資訊
CVE: CVE-2018-17189, CVE-2018-17199, CVE-2019-0190
ALAS: 2019-1166