Goodnews.ua


Уязвимость Optionsbleed может привести к утечке данных Apache-сервера

Сентябрь 20
22:37 2017

Уязвимость Optionsbleed может привести к утечке данных Apache-сервера

В HTTP-сервере Apache обнаружена уязвимость (CVE-2017-9798), которая теоретически может привести к утечке фрагментов памяти, содержащих остаточные данные от обработки текущим процессом запросов остальных клиентов системы совместного хостинга. Проблема, получившая название Optionsbleed, затрагивает системы с разрешенным HTTP-методом OPTIONS.
Уязвимость выявил и описал немецкий исследователь Ханно Бек (Hanno Böck). Optionsbleed представляет собой уязвимость использования после освобождения, приводящую к формированию поврежденного заголовка Allow в ответ на запрос HTTP OPTIONS. Это может привести к утечке фрагментов памяти процесса сервера, содержащих важные данные.
По словам эксперта, атакующий может использовать метод HTTP OPTIONS для эксплуатации уязвимости. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, поскольку для атаки потребуется изменение настроек через файл .htaccess. Ошибка, приводящая к утечке данных, возникает при выполнении запроса OPTIONS в случае, если в файле .htaccess установлена директива Limit для HTTP-метода, не зарегистрированного глобально на сервере.
Сканирование 1 млн крупнейших сайтов по рейтингу Alexa выявило всего 466 уязвимых хостов. По словам разработчиков Apache, уязвимость Optionsbleed представляет незначительный риск, поскольку злоумышленник может получить лишь несколько байтов памяти. Команда Apache Server Foundation уже выпустила корректирующие патчи для веток Apache 2.2 и 2.4 .
Apache HTTP-сервер — популярный свободный web-сервер, разработанный организацией Apache Software Foundation. Apache поддерживает операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

Источник: securitylab.ru

Share

Статьи по теме







0 Комментариев

Хотите быть первым?

Еще никто не комментировал данный материал.

Написать комментарий

Комментировать

Залишаючи свій коментар, пам'ятайте, що зміст та тональність вашого повідомлення можуть зачіпати почуття реальних людей, що безпосередньо чи опосередковано пов'язані із цією новиною. Виявляйте повагу та толерантність до своїх співрозмовників. Користувачі, які систематично порушують це правило, будуть заблоковані.

Website Protected by Spam Master


Останні новини

ФАО передала українським фермерам вже 185 генераторів

Читать всю статью

Ми у соцмережах




Наші партнёри

UA.TODAY - Украина Сегодня UA.TODAY
Goodnews.ua