Apache APR “apr_fnmatch()” sablon feldolgozás szolgáltatás megtagadás sérülékenység

2011. május 12. 09:22

CH azonosító

CH-4897

Angol cím

Apache APR "apr_fnmatch()" Pattern Processing Denial of Service Vulnerability

Felfedezés dátuma

2011.05.11.

Súlyosság

Közepes

Érintett rendszerek

Apache Portable Runtime (APR)
Apache Software Foundation

Érintett verziók

Apache APR 1.x

Összefoglaló

Az Apache APR olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.

Leírás

A sérülékenységet az “apr_fnmatch()” függvényen belüli végtelen rekurzív hiba okozza egyes sablonok feldolgozásakor. Ez kihasználható verem alapú puffer túlcsordulás előidézésére speciálisan erre a célra elkészített wildcard karaktereket (pl.: “*”) is tartalmazó kérések küldésével.

A sérülékenységet az 1.4.4-est megelőző verziókban jelentették.

Legfrissebb sérülékenységek

cve-2023-36439 – Microsoft Exchange szerver sérülékenysége

CVE-2023-23368 – QNAP QTS sérülékenysége

CVE-2023-22518 – Confluence Data Center és Server sérülékenysége

CVE-2023-20273 – Cisco IOS XE Web UI jogosultság kiterjesztés sérülékenysége

CVE-2023-20198 – Cisco IOS XE Web UI sérülékenysége

CVE-2023-4966 – NetScaler ADC és NetScaler Gateway sérülékenysége

CVE-2023-20101 – Cisco Emergency Responder 12.5(1)SU4 sérülékenysége

CVE-2023-22515 – Atlassian Confluence Data Center és Server sérülékenysége

CVE-2023-42793 – JetBrains TeamCity sérülékenysége

CVE-2023-41179 – Trend Micro Apex One és Worry-Free Business Security sebezhetősége

Tovább a sérülékenységekhez »

Apache APR “apr_fnmatch()” sablon feldolgozás szolgáltatás megtagadás sérülékenység