CH azonosító
CH-14502Angol cím
Apache HTTPD HTTP/2 SETTINGS Data Processing Bug Lets Remote Users Deny ServiceFelfedezés dátuma
2018.09.24.Súlyosság
MagasÉrintett rendszerek
Apache HTTP serverApache Software Foundation
Érintett verziók
Apache HTTP Server 2.4.x
Összefoglaló
Az Apache webszerver egy MAGAS kockázati besorolású sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS) idézhetnek elő.
Leírás
A sérülékenységet az okozza, hogy a szoftver nem megfelelően kezel bizonyos, a felhasználó által küldött adatokat. Ha a támadó egy meglévő HTTP/2 kapcsolat esetén folyamatosan, speciálisan megszerkesztett, maximális méretű SETTINGS frame-eket küld, akkor a szoftver folyamatosan fenntartja a kapcsolatot, és az soha nem kerül “time out” állapotba. Ennek következtében a szerver idővel kifut a rendelkezésre álló erőforrásokból, és nem tudja kiszolgálni a beérkező kéréseket.
A sérülékenységet csak akkor lehet kihasználni, ha a http/2 protokoll engedélyezve van.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: httpd.apache.org
Egyéb referencia: securitytracker.com
CVE-2018-11763 - NVD CVE-2018-11763