偵測

MiracleLinux 4httpd-2.2.15-45.0.1.AXS4 (AXSA:2015-347:01)

high Nessus Plugin ID 288961

語言:

概要

遠端 MiracleLinux 主機缺少安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受 AXSA:2015-347:01 公告中所提及一個弱點影響的套件。

 Apache HTTP Server 是一款強大、有效且可延伸的網頁伺服器。
 此版本修正的安全性問題
 CVE-2013-5704 Apache HTTP Server 2.2.22 中的 mod_headers 模組可讓遠端攻擊者在以區塊傳輸編碼傳送的資料結尾部分放置標頭從而繞過 RequestHeader unset 指示詞。注意:供應商表示,嚴格說來這並不是 httpd 中的一個安全性問題。
 修正的錯誤:
 * 重新載入 httpd 組態時,沒有檢查 mod_proxy 背景工作的順序。移除、新增 mod_proxy 背景工作或變更其順序時,其參數和分數可能會混雜在一起。透過此更新在組態重新載入期間mod_proxy 背景工作的順序已在內部保持一致。
 * 在第一次開機期間建立的本機主機憑證包含 CA 延伸模組,這會使 httpd 服務傳回警告訊息。透過此更新該錯誤已經修正。
 * 預設 mod_ssl 組態不再啟用 SSL 加密套件 (使用單一 DES、IDEA 或 SEED 加密演算法) 的支援。
 * 在正常重新啟動期間,apachectl 指令碼不會將 /etc/sysconfig/httpd 檔案中設定的 HTTPD_LANG 變數納入考量。因此,當程序正常重新啟動時,httpd 不會使用已變更的 HTTPD_LANG 值。
 為修正此錯誤指令碼已經過修正現可正確處理 HTTPD_LANG 變數。
 * 解壓縮超過 4 GB 的檔案時,mod_deflate 模組無法檢查原始檔案大小,因此無法解壓縮大檔案。透過此更新該問題已修正。
 * httpd 服務不會在重新啟動前檢查組態。當組態含有錯誤時,無法正常地重新啟動 httpd。
 透過此更新該問題已修正。
 * 使用 SSLVerifyClient optional_no_ca 和 SSLSessionCache 選項時未正確處理 SSL_CLIENT_VERIFY 環境變數。繼續 SSL 工作階段時SSL_CLIENT_VERIFY 值設為 SUCCESS而非先前設定的 GENEROUS。現在,SSL_CLIENT_VERIFY 在此狀況下會正確設為 GENEROUS。
 * ab 公用程式未正確處理讀取部分資料後關閉 SSL 連線的情況。因此ab 無法與 SSL 伺服器正確搭配使用並列印 SSL 讀取失敗錯誤訊息。此更新已修正上述錯誤。
 * 當用戶端呈現已撤銷的憑證時,只會在除錯層級建立記錄項目。關於已撤銷之憑證的訊息記錄層級已增加至 INFO,因此系統管理員現在會正確收到此情況的通知。
 增強功能:
 * mod_proxy 背景工作現在可以使用平衡器管理員 web 介面或使用 httpd 設定檔,在排出模式 (N) 下設定。排出模式下的背景工作僅接受目的地為本身的現有工作階段,並忽略其他所有要求。背景工作會等到目前連線至此的所有用戶端都完成其工作,然後再停止該背景工作。因此,排出模式允許在不影響用戶端的情況下,針對背景工作執行維護。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5693

Plugin 詳細資訊

嚴重性: High

ID: 288961

檔案名稱: miracle_linux_AXSA-2015-347.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

Vendor

Vendor Severity: Low

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2013-5704

CVSS v3

風險因素: High

基本分數: 7.5

時間性分數: 6.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:mod_ssl, p-cpe:/a:miracle:linux:httpd, p-cpe:/a:miracle:linux:httpd-tools, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:httpd-devel, p-cpe:/a:miracle:linux:httpd-manual

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/8/12

弱點發布日期: 2013/10/19

參考資訊

CVE: CVE-2013-5704