CH azonosító
CH-3215Angol cím
Apache Information Disclosure and Denial of Service VulnerabilitiesFelfedezés dátuma
2010.06.13.Súlyosság
AlacsonyÖsszefoglaló
Az Apache httpd egy biztonsági hiányosságát és több sérülékenységét jelentették, amelyeket kihasználva a támadók érzékeny információkat szerezhetnek meg, valamint a támadók és rosszindulatú felhasználók szolgáltatás megtagadást (DoS – Denial of Service) okozhatnak.
Leírás
- A biztonsági hiányosságot az okozza, hogy a mod_proxy_http nem megfelelően kezel bizonyos timeout feltételeket. Ez ahhoz vezethet, hogy a válaszok rossz felhasználókhoz kerülnek vissza.
Megjegyzés: Ez csak azokat a konfigurációkat érinti, amelyek proxy worker pool-okat használnak Windows, Netware és OS2 rendszereken. - A sérülékenységet a mod_cache útvonal szegmensek nélküli kérések kezelésekor jelentkező hibája okozza. Ez kihasználható a rendszer összeomlasztására speciálisan erre a célra készített kérésekkel.
Megjegyzés: A sérülékenység sikeres kihasználásának feltétele a “CacheIgnoreURLSessionIdentifiers” konfigurációs direktíva és a worker MPM használata. - A sérülékenységet a mod_dav útvonal szegmensek nélküli kérések kezelésekor jelentkező hibája okozza. Ez kihasználható a rendszer összeomlasztására speciálisan erre a célra készített kérésekkel.
Megjegyzés: A sérülékenység sikeres kihasználásának feltétele a worker MPM használata.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Infrastructure (Infrastruktúra)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: httpd.apache.org
Gyártói referencia: m&
Gyártói referencia: www.apache.org
Gyártói referencia:
SECUNIA 40206