openSUSE 安全性更新:apache2 (openSUSE-SU-2011:1217-1)

high Nessus Plugin ID 75787
新推出!弱點優先順序評分 (VPR)

Tenable 會為每個弱點計算動態 VPR。VPR 將弱點資訊與威脅情報和機器學習演算法加以結合,藉此預測攻擊者最有可能利用哪些弱點發動攻擊。查看詳細資訊: VPR 是什麼?它跟 CVSS 有何不同?

VPR 評分: 7.9

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

這項更新會修正 Apache webserver 中的數個安全性問題。

已精簡 ByteRange 遠端拒絕服務攻擊的修補程式 (CVE-2011-3192),且已新增上游所使用的組態選項。引入新 config 選項:如果超過,允許要求的範圍之最大範圍數目,並提供完整內容。預設:200 0|unlimited: unlimited none:已忽略 Range 標頭。此選項是 2.2.21 的反向移植。

亦已修正:CVE-2011-3348:使用未定義的方法時,proxy_ajp 中存有拒絕服務。

CVE-2011-3368:透過已啟用 mod_proxy 且具有不正確的重寫或 Proxy 規則之反向代理伺服器方法,洩漏內部伺服器。

解決方案

更新受影響的 apache2 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=713966

https://bugzilla.novell.com/show_bug.cgi?id=719236

https://bugzilla.novell.com/show_bug.cgi?id=722545

https://lists.opensuse.org/opensuse-updates/2011-11/msg00004.html

Plugin 詳細資訊

嚴重性: High

ID: 75787

檔案名稱: suse_11_4_apache2-111026.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/14

相依性: ssh_get_info.nasl

風險資訊

風險因素: High

VPR 評分: 7.9

CVSS v2.0

基本分數: 7.8

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:C

弱點資訊

CPE: p-cpe:/a:novell:opensuse:apache2, p-cpe:/a:novell:opensuse:apache2-debuginfo, p-cpe:/a:novell:opensuse:apache2-debugsource, p-cpe:/a:novell:opensuse:apache2-devel, p-cpe:/a:novell:opensuse:apache2-example-certificates, p-cpe:/a:novell:opensuse:apache2-example-pages, p-cpe:/a:novell:opensuse:apache2-itk, p-cpe:/a:novell:opensuse:apache2-itk-debuginfo, p-cpe:/a:novell:opensuse:apache2-prefork, p-cpe:/a:novell:opensuse:apache2-prefork-debuginfo, p-cpe:/a:novell:opensuse:apache2-utils, p-cpe:/a:novell:opensuse:apache2-utils-debuginfo, p-cpe:/a:novell:opensuse:apache2-worker, p-cpe:/a:novell:opensuse:apache2-worker-debuginfo, cpe:/o:novell:opensuse:11.4

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2011/10/26

惡意利用途徑

Core Impact

參考資訊

CVE: CVE-2011-3192, CVE-2011-3348, CVE-2011-3368