Apache HTTP Server 2.x Denial of Service
|
Date de Publication: 2003-04-08
K-Otik ID : 0005
Titre: Apache HTTP Server 2.x Denial of Service
Class: Design Error
Exploitable à distance : Oui
Exploitable en local : Non
|
* Description Technique - Exploit *
L'exploitation à distance d'une débordement de mémoire dans le serveur de HTTP d'Apache cause le démon à l'utilisation excessive des ressources système sur un système affecté. Le problème provient de la manipulation du serveur de HTTP des caractères de retour à la ligne. Le server web assigne un tampon de quatre-vingts bytes pour chaque caractère de retour à la ligne sans indiquer une limite supérieure pour l'attribution. En conséquence, un attaquant distant peut surcharger le système à distance en produisant des demandes multiples contenant ces caractères.
Ce type d'attaque est plus efficace dans un réseau Intranet, l'exploitation à distance à travers internet est faisable.
|
* Versions Vulnérables *
Les versions Windows et Unix du serveur 2.0.44 d'Apache sont vulnérables ; toutes les versions 2.x à 2.0.44 compris sont très probablement vulnérables.
* Solution *
Utiliser Apache HTTP Server 2.0.45.
* Crédits *
Cette faille a été découverte par iDefence (Avril 2003).
|