Apache szolgáltatás megtagadásos sérülékenység

CH azonosító

CH-14502

Angol cím

Apache HTTPD HTTP/2 SETTINGS Data Processing Bug Lets Remote Users Deny Service

Felfedezés dátuma

2018.09.24.

Súlyosság

Magas

Érintett rendszerek

Apache HTTP server
Apache Software Foundation

Érintett verziók

Apache HTTP Server 2.4.x

Összefoglaló

Az Apache webszerver egy MAGAS kockázati besorolású sérülékenységét jelentették, amit kihasználva a támadók szolgáltatás megtagadást (DoS) idézhetnek elő.

Leírás

A sérülékenységet az okozza, hogy a szoftver nem megfelelően kezel bizonyos, a felhasználó által küldött adatokat. Ha a támadó egy meglévő HTTP/2 kapcsolat esetén folyamatosan, speciálisan megszerkesztett, maximális méretű SETTINGS frame-eket küld, akkor a szoftver folyamatosan fenntartja a kapcsolatot, és az soha nem kerül “time out” állapotba. Ennek következtében a szerver idővel kifut a rendelkezésre álló erőforrásokból, és nem tudja kiszolgálni a beérkező kéréseket.

A sérülékenységet csak akkor lehet kihasználni, ha a http/2 protokoll engedélyezve van.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »