IBM HTTP Server 7.0.0.0 <= 7.0.0.45 / 8.0.0.0 <= 8.0.0.15 / 8.5.0.0 < 8.5.5.16 / 9.0.0.0 < 9.0.5.0 多個弱點 (880413)

high Nessus Plugin ID 144774

概要

遠端 Web 伺服器受到多個弱點影響。

說明

遠端主機上執行的 IBM HTTP Server 版本受到與 Apache HTTP Server 有關的多個弱點影響,具體如下:

- 在 Apache HTTP Server 2.4.0 至 2.4.38 中發現一個弱點。若要求 URL 的路徑元件含有多個連續斜線 (「/」),則諸如 LocationMatch 和 RewriteRule 等指示詞必須說明一般運算式中的重複項目,而伺服器處理的其他層面則會暗中對其進行摺疊。(CVE-2019-0220)

- 在包含 MPM 事件的 Apache HTTP Server 2.4 版本的 2.4.17 版至 2.4.38 版中,worker 或 prefork (在權限較低的子處理序或執行緒中執行的程式碼,包括處理序內指令碼解譯程式執行的指令碼) 可透過操控計分板的方式,以父處理序的權限 (通常是 root 權限) 執行任意程式碼。非 Unix 系統不受影響。(CVE-2019-0211)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 IBM HTTP Server 8.5.5.16、9.0.5.0 或更新版本。或者,升級版本至過渡期修正所需的最低 Fix Pack 等級,然後套用過渡期修正 PH09869。

另請參閱

https://www.ibm.com/support/pages/node/880413

Plugin 詳細資訊

嚴重性: High

ID: 144774

檔案名稱: ibm_http_server_880413.nasl

版本: 1.9

類型: local

代理程式: unix

系列: Web Servers

已發布: 2021/1/6

已更新: 2023/4/25

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 6

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2019-0211

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 7.2

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:ibm:http_server

必要的 KB 項目: installed_sw/IBM HTTP Server (IHS)

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2019/4/22

弱點發布日期: 2019/4/22

CISA 已知遭惡意利用弱點到期日: 2022/5/3

參考資訊

CVE: CVE-2019-0211, CVE-2019-0220

BID: 107666, 107670