Apache Traffic Server szolgáltatás megtagadásos sérülékenység
Angol cím: Apache Traffic Server Denial-of-Service vulnerability
CH azonosító: CH-14919
Publikálás dátuma: 2020.06.28.
Utolsó módosítás dátuma: 2020.06.28.
Leírás
A CVE-2020-9494 számon az Apache Traffic Server-eket érintő – magas kockázati besorolású – sérülékenység vált ismertté, amelyet kihasználva szolgálatatás megtagadásos körülmények idézhetőek elő az érintett eszközön.
Leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com Leírás utolsó módosítása: 2020.06.28.Elemzés leírás
Az Apache Traffic Server egy moduláris felépítésű, nagy teljesítményű proxy szerver. A most ismertetett sérülékenység egyes HTTP/2 Header frame-k nem megfelelő validálásából ered. Kihasználásához a távoli támadónak speciálisan kialakított kérést kell küldenie az érintett eszköz irányába. Sikeres kihasználás esetén nagy mennyiségű memória foglalható le, ami korlátozhatja az eszköz működését, így szolgáltatás megtagadásos körülmények jöhetnek létre.
Érintett verziók:
- Apache Traffic Server 6.0.0 – 6.2.3 közötti verziók
- Apache Traffic Server 7.0.0 – 7.1.10 közötti verziók
- Apache Traffic Server 8.0.0 – 8.0.7 közötti verziók
A gyártó honlapján közzétette a hiba javítását tartalmazó frissítéseket.
Elemzés leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com Elemzés leírás utolsó módosítása: 2020.06.28.Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A):
Hivatkozások
Egyéb referencia: exchange.xforce.ibmcloud.com
Egyéb referencia: www.debian.org
CVE-2020-9494 - NVD CVE-2020-9494
