Apache httpd sérülékenységei

CH azonosító

CH-13798

Angol cím

Apache HTTPD Multiple Flaws Let Remote Users Deny Service, Conduct HTTP Response Splitting Attacks, and Access and Modify Session Data

Felfedezés dátuma

2016.12.21.

Súlyosság

Közepes

Érintett rendszerek

Apache
Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache 2.4.25 előtti verziók.

Összefoglaló

Az Apache httpd több sérülékenysége vált ismertté, amelyet kihasználva a támadók hozzáférhetnek munkament adatokhoz, response splitting támadást indíthatnak vagy szolgáltatás leállást idézhetnek elő.

Leírás

Az Apache nem szűri szigorúan a HTTP fejléc adatokat. A támadó egy általa készített URL segítségével split response támadást indíthat. Ezt ki tudja használni cross-site scripting (XSS) támadásokhoz, vagy megfertőzheti a web cache-t.

A támadó a mod_session_crypto komponensnek speciális adatokat küldve, “padding oracle” típusú támadást alkalmazva hozzáférhet és módosíthatja a munkamenet (session) adatokat.

A támadó a mod_auth_digest komponensnek speciális adatokat küldve a szolgáltatás leállítását okozhatja.

Megoldás

Frissítsen az Apache 2.4.25 verzióra.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
CVE-2025-31201 – Apple Pointer Authentication sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
Tovább a sérülékenységekhez »