遠端 Oracle Linux 7 主機中安裝的套件受到 ELSA-2022-0143 公告中提及的多個弱點影響。

  - 在 Apache HTTP Server 2.4.0 到 2.4.46 版中，由原始伺服器傳送的特製 SessionHeader 可能會造成堆積溢位 (CVE-2021-26691)

  - 特製的要求內文可造成 mod_lua multipart 剖析器 (從 Lua 指令碼呼叫的 r: parsebody() ) 中發生緩衝區溢位。Apache httpd 團隊尚未發現利用該弱點的情況，不過攻擊者可能會自行建構弱點。此問題會影響 Apache HTTP Server 2.4.51 以及更早的版本。CVE-2021-44790

  - 格式錯誤的要求可能造成伺服器解除參照 NULL 指標。此問題會影響 Apache HTTP Server 2.4.48 以及更早的版本。CVE-2021-34798

  - 當提供惡意輸入時，ap_escape_quotes() 可能會在超出緩衝區結尾處寫入。隨附的模組皆不會將不受信任的資料傳遞至這些函式，但第三方/外部模組不然。此問題會影響 Apache HTTP Server 2.4.48 以及更早的版本。CVE-2021-39275

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Oracle Linux 7：httpd (ELSA-2022-0143)

critical Nessus Plugin ID 156797

版本 1.9