Oracle HTTP Server sérülékenységek – Nemzeti Kibervédelmi Intézet

NBSZ-NKI website

Oracle HTTP Server sérülékenységek

2013. április 17. 11:49

CH azonosító

CH-8950

Angol cím

Oracle HTTP Server Multiple Vulnerabilities

Felfedezés dátuma

2013.04.16.

Súlyosság

Érintett rendszerek

HTTP Server
Oracle

Érintett verziók

Oracle HTTP Server 10.x, 11.x

Összefoglaló

Az Oracle HTTP Server több sérülékenységét jelentették, amiket kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, vagy szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, illetve a támadók bizalmas információkat szerezhetnek, megkerülhetnek egyes biztonsági szabályokat, és szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

A Web Listener alkomponens egy nem részletezett hibáját kihasználva szolgáltatás megtagadást (DoS – Denial of Service) lehet előidézni. Jelenleg nem áll rendelkezésre bővebb információ.
A mod_mem_cache modulban a cache pool objektumok fejlécének kezelése során keletkező hibát kihasználva bizalmas információkat lehet szerezni.
A mod_proxy_ajp modul nem képes megfelelően kezelni a nem megfelelően formázott POST kéréseket, amit kihasználva más felhasználóhoz kapcsolódó bizalmas információkat lehet szerezni speciálisan kialakított HTTP kérések segítségével.

A további sérülékenységekről az alábbi hivatkozásokon található bővebb információ:
CERT-Hungary CH-3215 1. pont
CERT-Hungary CH-2233
CERT-Hungary CH-2307
CERT-Hungary CH-2580 2. pont
CERT-Hungary CH-2940 2. pont
CERT-Hungary CH-3215 1. pont
CERT-Hungary CH-7200 1. pont
CERT-Hungary CH-7088

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Other (Egyéb)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 53028
SECUNIA 26842
SECUNIA 34827
CERT-Hungary CH-3215
CERT-Hungary CH-2233
CERT-Hungary CH-2307
CERT-Hungary CH-2580
CERT-Hungary CH-2940
CERT-Hungary CH-3215
CERT-Hungary CH-7200
CERT-Hungary CH-7088
CVE-2007-1862 - NVD CVE-2007-1862
CVE-2009-0023 - NVD CVE-2009-0023
CVE-2009-1191 - NVD CVE-2009-1191
CVE-2009-1890 - NVD CVE-2009-1890
CVE-2009-1955 - NVD CVE-2009-1955
CVE-2009-1956 - NVD CVE-2009-1956
CVE-2009-2699 - NVD CVE-2009-2699
CVE-2010-0408 - NVD CVE-2010-0408
CVE-2010-2068 - NVD CVE-2010-2068
CVE-2010-2791 - NVD CVE-2010-2791
CVE-2012-0841 - NVD CVE-2012-0841
CVE-2012-2751 - NVD CVE-2012-2751
CVE-2013-1545 - NVD CVE-2013-1545

Legfrissebb sérülékenységek

WinZip Mark-of-the-Web kezelési sérülékenysége – WinZip Mark-of-the-Web kezelési sérülékenysége

CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége

CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége

CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége

CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége

CVE-2024-10224 – Linux ScanDeps sérülékenysége

CVE-2024-11003 – Linux needrestart sérülékenysége

CVE-2024-48992 – Linux needrestart sérülékenysége

CVE-2024-48991 – Linux needrestart sérülékenysége

CVE-2024-48990 – Linux needrestart sérülékenysége

Tovább a sérülékenységekhez »

Ugrás a tetejére