События

Уязвимость Optionsbleed может привести к утечке данных Apache-сервера

В HTTP-сервере Apache обнаружена уязвимость (CVE-2017-9798), которая теоретически может привести к утечке фрагментов памяти, содержащих остаточные данные от обработки текущим процессом запросов остальных клиентов системы совместного хостинга. Проблема, получившая название Optionsbleed, затрагивает системы с разрешенным HTTP-методом OPTIONS.

Уязвимость выявил и описал немецкий исследователь Ханно Бек (Hanno Böck). Optionsbleed представляет собой уязвимость использования после освобождения, приводящую к формированию поврежденного заголовка Allow в ответ на запрос HTTP OPTIONS. Это может привести к утечке фрагментов памяти процесса сервера, содержащих важные данные.

По словам эксперта, атакующий может использовать метод HTTP OPTIONS для эксплуатации уязвимости. Проблема актуальна только для систем хостинга, на которых размещаются сайты разных пользователей, поскольку для атаки потребуется изменение настроек через файл .htaccess. Ошибка, приводящая к утечке данных, возникает при выполнении запроса OPTIONS в случае, если в файле .htaccess установлена директива Limit для HTTP-метода, не зарегистрированного глобально на сервере.

Сканирование 1 млн крупнейших сайтов по рейтингу Alexa выявило всего 466 уязвимых хостов. По словам разработчиков Apache, уязвимость Optionsbleed представляет незначительный риск, поскольку злоумышленник может получить лишь несколько байтов памяти. Команда Apache Server Foundation уже выпустила корректирующие патчи для веток Apache 2.2 и 2.4 .

Apache HTTP-сервер - популярный свободный web-сервер, разработанный организацией Apache Software Foundation. Apache поддерживает операционные системы Linux, BSD, Mac OS, Microsoft Windows, Novell NetWare, BeOS.

Источник

Автор: Сергей Куприянов
20.09.2017 (18:39)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome

Все права защищены © 2010-2024

"alterprogs.com" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.com. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.