Apache httpd sérülékenységei

CH azonosító

CH-13798

Angol cím

Apache HTTPD Multiple Flaws Let Remote Users Deny Service, Conduct HTTP Response Splitting Attacks, and Access and Modify Session Data

Felfedezés dátuma

2016.12.21.

Súlyosság

Közepes

Érintett rendszerek

Apache
Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache 2.4.25 előtti verziók.

Összefoglaló

Az Apache httpd több sérülékenysége vált ismertté, amelyet kihasználva a támadók hozzáférhetnek munkament adatokhoz, response splitting támadást indíthatnak vagy szolgáltatás leállást idézhetnek elő.

Leírás

Az Apache nem szűri szigorúan a HTTP fejléc adatokat. A támadó egy általa készített URL segítségével split response támadást indíthat. Ezt ki tudja használni cross-site scripting (XSS) támadásokhoz, vagy megfertőzheti a web cache-t.

A támadó a mod_session_crypto komponensnek speciális adatokat küldve, “padding oracle” típusú támadást alkalmazva hozzáférhet és módosíthatja a munkamenet (session) adatokat.

A támadó a mod_auth_digest komponensnek speciális adatokat küldve a szolgáltatás leállítását okozhatja.

Megoldás

Frissítsen az Apache 2.4.25 verzióra.


Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »