安全研究
安全漏洞
NullLogic Null HTTPd远程拒绝服务攻击漏洞
发布日期:2003-09-24
更新日期:2003-09-28
受影响系统:NullLogic Null httpd 0.5.1
NullLogic Null httpd 0.5
描述:
BUGTRAQ ID:
8697
NULLhttpd是一款小型多线程WEB服务程序。
NULLhttpd不正确处理部分恶意HTTP POST请求,远程攻击者可以利用这个漏洞对WEB服务进行拒绝服务攻击。
攻击者在HTTP字段中定义一个'Content-Length'值,然后发送的数据被指定的'Content-Length'值少1字节,提交这样的HTTP POST请求,可导致每个连接在服务器上呈打开状态,攻击者提交多个类似请求可导致服务程序停止响应。
<*来源:Luigi Auriemma (
aluigi@pivx.com)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=106443746712704&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Luigi Auriemma (
aluigi@pivx.com)提供了如下测试方法:
POST / HTTP/1.0
Content-Length: 10
123456789
建议:
厂商补丁:
NullLogic
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://freshmeat.net/~nulllogic/浏览次数:3240
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |