Download| Apache 2.0: Denial of Service por consumo de memória |
 |
 |
| Sexta, 19 Novembro 2004 15:41 |
|
I. Sinopse Uma falha no Apache 2.0 pode permitir a um atacante remoto provocar uma negação de serviço. II. Enquadramento O Apache HTTP Server é um dos mais populares web servers na Internet. III. Versões Afectadas Vulneráveis: >2.0 / Não afectados: = 2.0.52-r1 IV. Descrição Chintan Trivedi descobriu uma vulnerabilidade no Apache httpd 2.0 que é causada por por uma imposição imprópria do limite do comprimento de campo no código de processamento de headers. V. Impacto Enviando uma grande quantidade de pedidos HTTP GET especialmente concebidos, um atacante remoto pode provocar uma negação de serviço num sistema alvo. VI. Workaround Desconhece-se qualquer workaround nesta altura. VII. Solução Todos os utilizadores de Apache 2.0 devem fazer upgrade para a última versão: # emerge --sync # emerge --ask --oneshot --verbose ">=net-www/apache-2.0.52-r1" Link para o patch: http://linux.rz.ruhr-uni-bochum.de/download/gentoo-mirror/distfiles/apache-patches-2.0.52-r1.tar.bz2 VIII. Referências [ 1 ] CAN-2004-0942 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0942 [ 2 ] Security vulnerabilities in Apache httpd 2.0 http://www.apacheweek.com/features/security-20 |
Missão
O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.
Contactos
Av. do Brasil 101
1700-066 Lisboa
Portugal
Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)
Fax: +351 218472167
email:
pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7
Filiação internacional
Canais
Feeds RSS
   |
Financiado por: |
  |
Copyright © 2010, Fundação para a Computação Cientifica Nacional.
Todos os direitos reservados