Apache HTTP Server többszörös sérülékenység

CH azonosító

CH-2940

Angol cím

Apache HTTP Server Multiple Vulnerabilities

Felfedezés dátuma

2010.03.02.

Súlyosság

Közepes

Érintett rendszerek

Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache Software Foundation Apache HTTP server 2.0.37 - 2.0.63, 2.2.0 - 2.2.14

Összefoglaló

Az Apache HTTP Server olyan sérülékenységei váltak ismertté, melyeket kihasználva támadók érzékeny információkhoz juthatnak hozzá, szolgáltatás megtagadást (DoS) idézhetnek elő, és föltörhetik a sebezhető rendszereket.

Leírás

  1. A mod_proxy_ajp modulban, a modules/proxy/mod_proxy_ajp.c “ap_proxy_ajp_request()” függvénye “HTTP_INTERNAL_SERVER_ERROR” hibakódot ad egyes szabálytalan kérések feldolgozásakor. Ezt kihasználva a háttérszerver hibaállapotba tehető az újracsatlakozási idő leteltéig speciálisan szerkesztett kérések küldésével.

    A sebezhetőség a következő verziókat érinti: 2.2.0 – 2.2.14.

  2. A mod_isapi modul a kérés feldolgozás befejezése előtt kitölti az ISAPI modulokat, így árva visszahívás mutatók (callback pointer) maradhatnak. Ezt kihasználva, egy különlegesen kialakított csomag és egy újraindítás csomag küldésével tetszőleges kód futtatható rendszer szintű jogosultsággal Windows rendszereken.

    A sebezhetőség a következő verziókat érinti: 2.0.37 – 2.0.63 és 2.2.0 – 2.2.14.

  3. A fejléc kezelés egy alkérések feldolgozásakor jelentkező hibája kihasználható érzékeny információk kinyerésére egy rossz szálon kezelt kérésből, egy többszálú Multi-Processing Module (MPM) használatakor.

    A sebezhetőség a következő verziókat érinti: 2.2.0 – 2.2.14.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »