Apache HTTP Server 2.x Denial of Service

 Date de Publication: 2003-04-08
 K-Otik ID : 0005
 Titre: Apache HTTP Server 2.x Denial of Service
 Class: Design Error
 Exploitable à distance : Oui
 Exploitable en local : Non
 

 

  * Description Technique - Exploit *
 
L'exploitation à distance d'une débordement de mémoire dans le serveur de HTTP d'Apache cause le démon à l'utilisation excessive des ressources système sur un système affecté. Le problème provient de la manipulation du serveur de HTTP des caractères de retour à la ligne. Le server web assigne un tampon de quatre-vingts bytes pour chaque caractère de retour à la ligne sans indiquer une limite supérieure pour l'attribution. En conséquence, un attaquant distant peut surcharger le système à distance en produisant des demandes multiples contenant ces caractères.

Ce type d'attaque est  plus efficace dans un réseau Intranet, l'exploitation à distance à travers internet est faisable.

  * Versions Vulnérables *
 
Les versions Windows et Unix du serveur 2.0.44 d'Apache sont vulnérables ; toutes les versions 2.x à 2.0.44 compris sont très probablement vulnérables.

  * Solution *
 
 Utiliser Apache HTTP Server 2.0.45.

  * Crédits *
 
 Cette faille a été découverte par iDefence (Avril 2003).

   

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits