Apache httpd sérülékenységei

CH azonosító

CH-13798

Angol cím

Apache HTTPD Multiple Flaws Let Remote Users Deny Service, Conduct HTTP Response Splitting Attacks, and Access and Modify Session Data

Felfedezés dátuma

2016.12.21.

Súlyosság

Közepes

Érintett rendszerek

Apache
Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache 2.4.25 előtti verziók.

Összefoglaló

Az Apache httpd több sérülékenysége vált ismertté, amelyet kihasználva a támadók hozzáférhetnek munkament adatokhoz, response splitting támadást indíthatnak vagy szolgáltatás leállást idézhetnek elő.

Leírás

Az Apache nem szűri szigorúan a HTTP fejléc adatokat. A támadó egy általa készített URL segítségével split response támadást indíthat. Ezt ki tudja használni cross-site scripting (XSS) támadásokhoz, vagy megfertőzheti a web cache-t.

A támadó a mod_session_crypto komponensnek speciális adatokat küldve, “padding oracle” típusú támadást alkalmazva hozzáférhet és módosíthatja a munkamenet (session) adatokat.

A támadó a mod_auth_digest komponensnek speciális adatokat küldve a szolgáltatás leállítását okozhatja.

Megoldás

Frissítsen az Apache 2.4.25 verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »