Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Уязвимость Optionsbleed может привести к утечке данных Apache-сервера

Уязвимость Optionsbleed может привести к утечке данных Apache-сервера


20.09.2017

Уязвимость Optionsbleed может привести к утечке данных Apache-сервера

В HTTP-сервере Apache обнаружена уязвимость (CVE-2017-9798), которая теоретически может привести к утечке фрагментов памяти, содержащих остаточные данные от обработки текущим процессом запросов остальных клиентов системы совместного хостинга. Проблема, получившая название Optionsbleed, затрагивает системы с разрешенным HTTP-методом OPTIONS.

 Уязвимость выявил и описал немецкий исследователь Ханно Бек (Hanno Bock). Optionsbleed представляет собой уязвимость использования после освобождения, приводящую к формированию поврежденного заголовка Allow в ответ на запрос HTTP OPTIONS. Это может привести к утечке фрагментов памяти процесса сервера, содержащих важные данные.

 По словам эксперта, атакующий может использовать метод HTTP OPTIONS для эксплуатации уязвимости. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, поскольку для атаки потребуется изменение настроек через файл .htaccess. Ошибка, приводящая к утечке данных, возникает при выполнении запроса OPTIONS в случае, если в файле .htaccess установлена директива Limit для HTTP-метода, не зарегистрированного глобально на сервере.

 Сканирование 1 млн крупнейших сайтов по рейтингу Alexa выявило всего 466 уязвимых хостов. По словам разработчиков Apache, уязвимость Optionsbleed представляет незначительный риск, поскольку злоумышленник может получить лишь несколько байтов памяти. Команда Apache Server Foundation уже выпустила корректирующие патчи для веток Apache 2.2 и 2.4 .

 Apache HTTP-сервер - популярный свободный web-сервер, разработанный организацией Apache Software Foundation. Apache поддерживает операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

 

Securitylab


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.