Érintett rendszerek
APR-utilApache Software Foundation
Érintett verziók
Apache Software Foundation APR-util 1.x
Összefoglaló
Az APR-util több olyan sérülékenységét jelentették, melyet rosszindulatú felhasználók
és támadók kihasználhatnak szolgáltatás megtagadás (DoS) okozására vagy bizalmas információk megszerzésére.
Leírás
Az APR-util több olyan sérülékenységét jelentették, melyet rosszindulatú felhasználók
és támadók kihasználhatnak szolgáltatás megtagadás (DoS) okozására vagy bizalmas információk megszerzésére.
- A sérülékenységet az XML fájlok feldolgozásakor fellépő hiba okozza, melyet kihasználva felemészthető az elérhető memória kapacitás egy speciálisan erre a célra elkészített XML fájllal, amely előre definiált entitást tartalmaz egy entitás definícióba ágyazva.
- A strmatch/apr_strmatch.c “apr_strmatch_precompile()” függvényének hibája okozza azt a sérülékenységet, amelyet kihasználva a könyvtárat használó alkalmazás összeomlását lehet előidézni.
- A buckets/apr_brigade.c “apr_brigade_vprintf()” függvényének ciklushibáját kihasználva bizalmas információkat lehet megszerezni vagy a könyvtárat használó alkalmazás összeomlását lehet előidézni.
A sebezhetőség sikeres kiaknázása big-endian rendszereken lehetséges.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 35284
CVE-2009-0023 - NVD CVE-2009-0023
Gyártói referencia: www.apache.org
Egyéb referencia: milw0rm.com
CVE-2009-1955 - NVD CVE-2009-1955
CVE-2009-1956 - NVD CVE-2009-1956