English

◀◁ 뒤로 취약점ID 22659 위험도 30 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 호스트에는 버전 2.4.12 이전의 Apache HTTP 서버의 어떤 버전이 가동 중인 것으로 나타난다. 해당 버전은 다음과 같은 다중 취약점이 존재한다. - mod_headers 모듈에 HTTP 트레일러가 요청을 처리하는 중에 HTTP 헤더를 교체하도록 허용하는 에러가 존재한다. 이로 인해 공격자는 임의의 헤더를 주입할 수 있으며, 또한 다른 모듈을 부적절하게 작동하게 할 수 있다. (CVE-2013-5704) - mod_cache 모듈에 NULL 포인터를 역참조하는 에러가 존재한다. 이로 인해 공격자는 비어있는 HTTP Content-Type 헤더를 이용하여 서비스 거부를 일으킬 수 있다. (CVE-2014-3581) - mod_proxy_fcgi 모듈에 할당된 메모리의 경계 외부에서 데이터를 읽는 에러가 존재한다. 이로 인해 공격자는 외부의 FastCGI 서버에 매우 긴 응답 헤더를 전송하여 서비스 거부를 일으킬 수 있다. (CVE-2014-3583) - LuaAuthzProvider 처리 시 mod_lua 모듈에서 에러가 발생한다. 이로 인해 공격자는 접속 제한을 우회할 수 있다. (CVE-2014-8109) * 알림: 이 점검항목은 이 취약점을 점검하기 위해 해당 웹 서버의 배너 정보만을 확인한다. 따라서 거짓 양성반응(False Positive)을 보일 수 있다. * 참고 사이트: http://www.apache.org/dist/httpd/CHANGES_2.4.12 http://httpd.apache.org/security/vulnerabilities_24.html * 영향을 받는 플랫폼: Apache HTTP Server 2.4.12 이전의 2.4.x 버전들 해결책 Apache Software Foundation 웹 사이트인 http://httpd.apache.org/download.cgi 에서 구할 수 있는 Apache HTTP Server의 가장 최신 버전(2.4.12 혹은 이후)으로 업그레이드 하여야 한다. 관련 URL CVE-2013-5704,CVE-2014-3581,CVE-2014-3583,CVE-2014-8109 (CVE) 관련 URL 66550,71656,71657 (SecurityFocus) 관련 URL (ISS)