遠端 Redhat Enterprise Linux 7/8 主機上安裝的多個套件受到 RHSA-2022: 7143 公告中提及的多個弱點影響。

  - httpd：透過 HTTP/2 方法插入和 mod_proxy 要求分割 (CVE-2021-33193)

  - 特製的要求 uri-path 可造成 mod_proxy_uwsgi 在所配置的記憶體之外讀取並造成當機 (DoS)。此問題會影響 Apache HTTP Server 2.4.30 至 2.4.48 版 (含)。(CVE-2021-36160)

  - 當提供惡意輸入時，ap_escape_quotes() 可能會在超出緩衝區結尾處寫入。隨附的模組皆不會將不受信任的資料傳遞至這些函式，但第三方/外部模組不然。此問題會影響 Apache HTTP Server 2.4.48 以及更早的版本。CVE-2021-39275

  - httpd：在 HTTP/2 要求處理期間，可透過特製要求造成 NULL 指標解除參照 (CVE-2021-41524)

  - 傳送至設定為正向代理伺服器 (啟用 ProxyRequests) 的 httpd 的特製 URI 可造成當機 (NULL 指標解除參照)，或者混合正向和反向代理伺服器宣告的組態，允許將要求導向至宣告的 Unix 網域通訊端端點 (伺服器端要求偽造)。此問題會影響 Apache HTTP Server 2.4.7 版至 2.4.51 版 (含此版本)。(CVE-2021-44224)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 7/8：Red Hat JBoss Core Services Apache HTTP Server 2.4.51 (RHSA-2022: 7143)

critical Nessus Plugin ID 166564

版本 1.5