Apache mod_wsgi < 3.5 Apache 處理程序權限提升

high Nessus Plugin ID 76497

概要

遠端 Web 伺服器模組受到一個權限提升弱點影響。

說明

根據 Web 伺服器標題,遠端主機上執行的 mod_wsgi 版本比 3.5 舊。因此會受到權限提升弱點影響。

該問題之所以發生,是因為不當處理 ‘setuid’ 傳回的錯誤碼所導致。此瑕疵會允許本機攻擊者操控使用者執行的處理程序數,藉此在程序模式處理程序分支期間影響 ‘setuid’ 的結果。這可允許攻擊者取得提升的權限。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 mod_wsgi 3.5 或更新版本。

另請參閱

http://www.nessus.org/u?16568048

Plugin 詳細資訊

嚴重性: High

ID: 76497

檔案名稱: mod_wsgi_3_5.nasl

版本: 1.6

類型: remote

系列: Web Servers

已發布: 2014/7/14

已更新: 2018/11/15

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 6.2

時間分數: 4.6

媒介: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 8.1

時間分數: 7.1

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:modwsgi:mod_wsgi

必要的 KB 項目: installed_sw/Apache

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/5/21

弱點發布日期: 2014/5/21

參考資訊

CVE: CVE-2014-0240

BID: 67532