CH azonosító
CH-10756Angol cím
Apache HTTP Server Two Denial of Service VulnerabilitiesFelfedezés dátuma
2014.03.18.Súlyosság
KözepesÉrintett rendszerek
Apache HTTP serverApache Software Foundation
Érintett verziók
Apache HTTP Server 2.4.x
Apache HTTP Server 2.x
Összefoglaló
Az Apache HTTP Server két sérülékenysége vált ismertté, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.
Leírás
- A mod_log_config modulnak a csonkított sütik logolása közben jelentkező hibája kihasználható a worker szál összeomlásának előidézésére egy speciálisan formázott süti (cookie) segítségével.
A sérülékenység sikeres kihasználása a “threaded MPM” használatát feltételezi. - A mod_dav modulnak a vezető space-ek levágása közben jelentkező határhibája kihasználható a memória felülírására egy speciálisan formázott DAV WRITE kéréssel.
A sérülékenységek a 2.4.9 előtti 2.4.x verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Unspecified (Nem részletezett)Hatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.apache.org
Gyártói referencia: httpd.apache.org
CVE-2013-6438 - NVD CVE-2013-6438
CVE-2014-0098 - NVD CVE-2014-0098
SECUNIA 57399