CH azonosító
CH-5947Angol cím
Apache HTTP Server "ap_pregsub()" Denial of Service VulnerabilityFelfedezés dátuma
2011.11.10.Súlyosság
AlacsonyÖsszefoglaló
Az Apache HTTP Server olyan sérülékenységét jelentették, amelyet rosszindulatú helyi felhasználók kihasználva szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
A sérülékenységet az “apr_pregsub()” függvény (server/utils.c) nem megfelelő módon korlátozott környezeti változók értékének maximum méret hibája okozza, amely pl. kihasználható nagy terjedelmű memória felhasználására egy speciálisan megszerkesztett “.htaccess” fájl segítségével.
A sérülékenységet a 2.0.64 és 2.2.21 verziókban jelentették. Más verziók is érintettek lehetnek.
Megoldás
Csak megbízható felhasználóknak engedélyezze a hozzáférést.
Támadás típusa
Misconfiguration (Konfiguráció)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 46823
CVE-2011-4415 - NVD CVE-2011-4415
SECUNIA 45793
CERT-Hungary CH-5885
Egyéb referencia: www.halfdog.net
Egyéb referencia: www.halfdog.net