Подробности DoS уязвимости против Apache Web сервера

04.06.2003 | 15:23
На прошлой неделе была выпущена новая версия Apache Web сервера, в которой была устранена возможность DoS нападения. Сейчас раскрываются подробности обнаруженной уязвимости.

Сообщается, что передача чрезмерно длинной строки к функции библиотеки APR apr_psprintf() приводит к тому, что приложение обращается к областям памяти, которые уже были возвращены пулу распределения динамической памяти. Возможно, уязвимость может использоваться для выполнения произвольного кода, однако это не было подтверждено во время публикации этого сообщения.

Для успешной эксплуатации уязвимости, удаленный атакующий должен передать большие строки к уязвимой функции, например через модуль mod_dav. Атакующий может создать специально обработанный XML object запрос, размером примерно 12250 байт, который приведет к аварийному завершению работы HTTP сервера, запущенного на не Windows системах. На Windows системах запрос должен иметь размер более 20000 символов.

Уязвимость обнаружена в Apache Web Server 2.0 - 2.0.45 и устранена в 2.0.46.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://www.securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код