Apache 2.4.x < 2.4.25 多個弱點 (httpoxy)

high Nessus Plugin ID 96451

語系：

概要

遠端 Web 伺服器受到多個弱點影響。

說明

根據其標題，遠端主機上執行的 Apache 版本是比 2.4.25 舊的 2.4.x 版。因此，該應用程式受到以下弱點影響：

- mod_session_crypto 模組中存在一個缺陷，這是因為使用設定的密碼並可能搭配 CBC 或 ECB 作業模式 (預設為 AES256-CBC) 來加密資料及 Cookie 所致。未經驗證的遠端攻擊者可惡意利用此缺陷，在不知道加密金鑰的情況下透過 padding oracle 攻擊將資訊解密，進而導致洩露潛在的敏感資訊。(CVE-2016-0736)

- 進行用戶端輸入項配置時，mod_auth_digest 模組中存在一個拒絕服務弱點。
未經驗證的遠端攻擊者可惡意利用此弱點，透過特製的輸入耗盡共用記憶體資源，進而導致伺服器當機。(CVE-2016-2161)

- Apache HTTP Server 會受到一個稱為「httpoxy」的攔截式弱點影響，此弱點是因未正確依據 RFC 3875 第 4.1.18 節解決命名空間衝突所致。HTTP_PROXY 環境變數是依據 HTTP 要求的「Proxy」標頭中不受信任的使用者資料所設定。某些 Web 用戶端程式庫會使用 HTTP_PROXY 環境變數來指定遠端代理伺服器。未經驗證的遠端攻擊者可惡意利用此問題，透過 HTTP 要求中的特製「Proxy」標頭，將應用程式的內部 HTTP 流量重新導向至其可觀察或操控的任意代理伺服器。
(CVE-2016-5387)

- mod_http2 模組中存在一個拒絕服務弱點，這是因為不當處理 LimitRequestFields 指示詞所致。未經驗證的遠端攻擊者可惡意利用此弱點，透過 HTTP/2 要求中特製的 CONTINUATION 框架將無限要求標頭插入伺服器，進而導致記憶體資源耗盡。(CVE-2016-8740)

- 存在一個缺陷，這是因為不當處理使用者代理程式標頭的空白模式所致。未經驗證的遠端攻擊者可惡意利用此缺陷，透過特製的使用者代理程式標頭造成程式以不正確的方式處理要求順序，進而導致對回應的解譯出錯、快取遭到污染，或把某個要求的內容洩露給第二個下游使用者代理程式。(CVE-2016-8743)

- CRLF 插入，允許對使用 mod_userdir 的網站發動 HTTP 回應分割攻擊 (CVE-2016-4975)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼。

解決方案

升級至 Apache 2.4.25 或更新版本。

請注意，採用供應商公告 asf-httpoxy-response.txt 中所述的因應措施或修補程式，即可減輕「httpoxy」弱點的嚴重性。此外，為了減輕其他弱點的嚴重性，請確定受影響的模組 (mod_session_crypto、mod_auth_digest 及 mod_http2) 目前並未處於使用中狀態。