Apache APR “apr_fnmatch()” sablon feldolgozás szolgáltatás megtagadás sérülékenység


2011. május 12. 09:22

CH azonosító

CH-4897

Angol cím

Apache APR "apr_fnmatch()" Pattern Processing Denial of Service Vulnerability

Felfedezés dátuma

2011.05.11.

Súlyosság

Közepes

Érintett rendszerek

Apache Portable Runtime (APR)
Apache Software Foundation

Érintett verziók

Apache APR 1.x

Összefoglaló

Az Apache APR olyan sérülékenysége vált ismertté, amelyet kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni.

Leírás

A sérülékenységet az “apr_fnmatch()” függvényen belüli végtelen rekurzív hiba okozza egyes sablonok feldolgozásakor. Ez kihasználható verem alapú puffer túlcsordulás előidézésére speciálisan erre a célra elkészített wildcard karaktereket (pl.: “*”) is tartalmazó kérések küldésével.

A sérülékenységet az 1.4.4-est megelőző verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Input manipulation (Bemenet módosítás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 44490
Gyártói referencia: www.apache.org
CVE-2011-0419 - NVD CVE-2011-0419

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »