Apache Traffic Server szolgáltatás megtagadásos sérülékenység

CH azonosító: CH-14919
Cím: Apache Traffic Server szolgáltatás megtagadásos sérülékenység
Angol cím: Apache Traffic Server Denial-of-Service vulnerability

Publikálás dátuma: 2020.06.28.
Utolsó módosítás dátuma: 2020.06.28.


Leírás

A CVE-2020-9494 számon az Apache Traffic Server-eket érintő magas kockázati besorolású – sérülékenység vált ismertté, amelyet kihasználva szolgálatatás megtagadásos körülmények idézhetőek elő az érintett eszközön.


Leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com
Leírás utolsó módosítása: 2020.06.28.


Elemzés leírás

Az Apache Traffic Server egy moduláris felépítésű, nagy teljesítményű proxy szerver. A most ismertetett sérülékenység egyes HTTP/2 Header frame-k nem megfelelő validálásából ered. Kihasználásához a távoli támadónak speciálisan kialakított kérést kell küldenie az érintett eszköz irányába. Sikeres kihasználás esetén nagy mennyiségű memória foglalható le, ami korlátozhatja az eszköz működését, így szolgáltatás megtagadásos körülmények jöhetnek létre.

Érintett verziók:

  • Apache Traffic Server 6.0.0 – 6.2.3 közötti verziók
  • Apache Traffic Server 7.0.0 – 7.1.10 közötti verziók
  • Apache Traffic Server 8.0.0 – 8.0.7 közötti verziók

A gyártó honlapján közzétette a hiba javítását tartalmazó frissítéseket.


Elemzés leírás forrása: Egyéb referencia: exchange.xforce.ibmcloud.com
Elemzés leírás utolsó módosítása: 2020.06.28.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Nincs
Sértetlenség Hatása (I): Nincs
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Egyéb referencia: exchange.xforce.ibmcloud.com
Egyéb referencia: www.debian.org
CVE-2020-9494 - NVD CVE-2020-9494