Összefoglaló
Az Embedthis GoAhead egy súlyos sérülékenységet rejt. Ennek kihasználásával jogosulatlan távoli károkozásokra, illetve szolgáltatásmegtagadási támadásokra nyílhat lehetőség.
Leírás
Az sebezhetőség az src/http.c állományban található websNormalizeUriPath() függvényt érinti, amely bizonyos esetekben lokális fájlokhoz adhat hozzáférést mindenféle jogosultság hiányában is. Emellett azonban esetenként puffertúlcsordulási hibát is előidézhet, ami végül tetszőleges kódok futtatását segítheti elő.
Megoldás
A 3.4.2-es verzióra történő frissítés.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Other (Egyéb)
System access (Rendszer hozzáférés)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: github.com
Egyéb referencia: isbk.hu
CVE-2014-9707 - NVD CVE-2014-9707