发布日期：2003-04-05
更新日期：2003-04-11

受影响系统：

Aprelium Technologies Abyss Web Server 1.1.2

不受影响系统：

Aprelium Technologies Abyss Web Server 1.1.4

描述：

---

BUGTRAQ  ID: 7287

Abyss Web Server是一款免费的WEB服务程序，可使用在Windows和Linux操作系统上。

Abyss Web服务程序在处理部分不完整HTTP请求时存在问题，远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击。

问题存在与当Abyss Web服务程序处理"Connection:"和"Range:"字段，由于Abyss接收到这些请求时，会读取每一个HTTP段，和每个段中的值，不但读取，而且与一些默认字符串进行对比操作，如"Connection:"字段会对比"close" 还是"Keep-Alive"。因此如果攻击者提交的请求中这些字段全为空，程序就会由于内存读取错误而崩溃。

<*来源：Auriemma Luigi （aluigi@pivx.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104956204414249&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Auriemma Luigi （aluigi@pivx.com）提供了如下测试方法：

--------------
GET / HTTP/1.0
Connection:


--------------

or

--------------
GET / HTTP/1.0
Range:


--------------

建议：

---

厂商补丁：

Aprelium Technologies
---------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Aprelium Technologies Upgrade Abyss Web Server 1.1.4
http://www.aprelium.com/abyssws/download.php

浏览次数：3234
严重程度：0（网友投票）