偵測

Oracle Linux 8:httpd:2.4 (ELSA-2024-3121)

high Nessus Plugin ID 198007

語言:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2024-3121 公告中提及的多個弱點影響。

 httpd [2.4.37-64.0.1]
 - 將 index.html 取代為 Oracle 的索引頁面 oracle_index.html

 [2.4.37-64]
 - 解決:RHEL-14448 - httpd:mod_macro:超出邊界讀取弱點 (CVE-2023-31122)

 [2.4.37-63]
 - mod_xml2enc:修正媒體類型處理 解決:RHEL-14321

 mod_http2 [1.15.7-10]
 - 解決:RHEL-29817 - httpd:2.4/mod_http2:httpd:CONTINUATION 框架 DoS (CVE-2024-27316)

 [1.15.7-9.3]
 - 解決:RHEL-13367 - httpd:2.4/mod_http2:重設要求耗盡記憶體 (對 CVE-2023-44487 的修正不完整) (CVE-2023-45802)

 [1.15.7-8.3]
 - 解決:#2177748 - CVE-2023-25690 httpd:2.4/httpd:使用 mod_rewrite 和 mod_proxy 中拆分 HTTP 要求

 [1.15.7-7]
 - 解決:#2095650 - mod_http2 對 httpd 的相依性損毀

 [1.15.7-6]
 - 反向移植 SNI 功能重構
 - 解決:rhbz#2137257

 [1.15.7-5]
 - 解決:#2035030 - CVE-2021-44224 httpd:2.4/httpd:正向代理伺服器設定中可能的 NULL 解除參照或 SSRF

 [1.15.7-4]
 - 解決:#1966728 - CVE-2021-33193 httpd:2.4/mod_http2:httpd:
 透過 HTTP/2 方法插入和 mod_proxy 要求分割

 [1.15.7-3]
 - 解決:#1869077 - CVE-2020-11993 httpd:2.4/mod_http2:httpd:
 mod_http2 存在並行集區使用問題

 [1.15.7-2]
 - 解決:#1869073 - CVE-2020-9490 httpd:2.4/mod_http2:httpd:
 特別建構的 HTTP/2 標頭中發生推送日誌損毀

 [1.15.7-1]
 - 新版本 1.15.7
 - 解決:#1814236 - RFE:mod_http2 重定基底
 - 解決:#1747289 - CVE-2019-10082 httpd:2.4/mod_http2:httpd:
 h2 連接關閉中存在釋放後讀取問題
 - 解決:#1696099 - CVE-2019-0197 httpd:2.4/mod_http2:httpd:
 mod_http2:執行最新更新可能會發生當機
 - 解決:#1696094 - CVE-2019-0196 httpd:2.4/mod_http2:httpd:
 mod_http2:執行字串比較會發生釋放後讀取
 - 解決:#1677591 - CVE-2018-17189 httpd:2.4/mod_http2:httpd:
 mod_http2:透過緩慢、不需要的要求內文造成 DoS

 [1.11.3-3]
 - 解決:#1744999 - CVE-2019-9511 httpd:2.4/mod_http2:HTTP/2:大量的資料要求導致拒絕服務
 - 解決:#1745086 - CVE-2019-9516 httpd:2.4/mod_http2:HTTP/2:零長度標頭導致拒絕服務
 - 解決:#1745154 - CVE-2019-9517 httpd:2.4/mod_http2:HTTP/2:要求大型回應導致拒絕服務

 [1.11.3-2]
 - 更新版本 (#1695587)

 [1.11.3-1]
 - 新版本 1.11.3
 - 解決:#1633401 - CVE-2018-11763 mod_http2:httpd:藉由傳送持續的 SETTINGS 造成 HTTP/2 連線 DoS

 [1.10.20-1]
 - 1.10.20 的更新

 [1.10.18-1]
 - 1.10.18 的更新

 [1.10.16-1]
 - 1.10.16 的更新 (CVE-2018-1302)

 [1.10.13-2]
 - 已針對 https://fedoraproject.org/wiki/Fedora_28_Mass_Rebuild 重建

 [1.10.13-1]
 - 1.10.13 的更新

 [1.10.12-1]
 - 1.10.12 的更新

 [1.10.10-2]
 - 已針對 https://fedoraproject.org/wiki/Fedora_27_Binutils_Mass_Rebuild 重建

 [1.10.10-1]
 - 1.10.10 的更新

 [1.10.7-2]
 - 已針對 https://fedoraproject.org/wiki/Fedora_27_Mass_Rebuild 重建

 [1.10.7-1]
 - 1.10.7 的更新

 [1.10.6-1]
 - 1.10.6 的更新

 [1.10.5-1]
 - 1.10.5 的更新

 [1.10.1-1]
 - 初始匯入 (#1440780)。

 mod_md

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-3121.html

Plugin 詳細資訊

嚴重性: High

ID: 198007

檔案名稱: oraclelinux_ELSA-2024-3121.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2024/5/28

已更新: 2024/11/2

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: High

基本分數: 7.8

時間性分數: 5.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2023-31122

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:linux:8:10:appstream_base, p-cpe:/a:oracle:linux:mod_md, cpe:/a:oracle:linux:8::appstream, p-cpe:/a:oracle:linux:httpd-devel, p-cpe:/a:oracle:linux:mod_session, p-cpe:/a:oracle:linux:httpd-filesystem, p-cpe:/a:oracle:linux:httpd-manual, p-cpe:/a:oracle:linux:mod_ldap, p-cpe:/a:oracle:linux:mod_proxy_html, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:mod_ssl, p-cpe:/a:oracle:linux:mod_http2, cpe:/a:oracle:linux:8:9:appstream_base, p-cpe:/a:oracle:linux:httpd, p-cpe:/a:oracle:linux:httpd-tools

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/5/24

弱點發布日期: 2023/10/19

參考資訊

CVE: CVE-2023-31122, CVE-2023-45802