安全研究
安全漏洞
Abyss Webfu服务器不完整HTTP请求远程拒绝服务攻击漏洞
发布日期:2003-04-05
更新日期:2003-04-11
受影响系统:Aprelium Technologies Abyss Web Server 1.1.2
不受影响系统:Aprelium Technologies Abyss Web Server 1.1.4
描述:
BUGTRAQ ID:
7287
Abyss Web Server是一款免费的WEB服务程序,可使用在Windows和Linux操作系统上。
Abyss Web服务程序在处理部分不完整HTTP请求时存在问题,远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击。
问题存在与当Abyss Web服务程序处理"Connection:"和"Range:"字段,由于Abyss接收到这些请求时,会读取每一个HTTP段,和每个段中的值,不但读取,而且与一些默认字符串进行对比操作,如"Connection:"字段会对比"close" 还是"Keep-Alive"。因此如果攻击者提交的请求中这些字段全为空,程序就会由于内存读取错误而崩溃。
<*来源:Auriemma Luigi (
aluigi@pivx.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=104956204414249&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Auriemma Luigi (
aluigi@pivx.com)提供了如下测试方法:
--------------
GET / HTTP/1.0
Connection:
--------------
or
--------------
GET / HTTP/1.0
Range:
--------------
建议:
厂商补丁:
Aprelium Technologies
---------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Aprelium Technologies Upgrade Abyss Web Server 1.1.4
http://www.aprelium.com/abyssws/download.php浏览次数:3234
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |