Xeneo Web Server Long Argument Denial of Service

 Date de Publication: 2003-04-22
 Titre: Xeneo Web Server Long Argument Denial of Service
 K-Otik ID : 0028
 Exploitable à distance : Oui
 Exploitable en local : Oui
 

 

 * Description Technique - Exploit *
 
 Une vulnérabilité vient d'être découverte dans Xeneo Web Server 2.x, qui peut être exploitée par un attaquant distant afin de causer un DoS sur un serveur vulnérable.

La faille est causé par une erreur dans la gestion des argument très longs. Un attaquant peut exploiter cette faille en envoyant une simple requête HTTP grâce à une url qui contient un "?" suivi de 4096 caractères :
http://[victim]/?AAAAAAAA...[4096]...AAAAAAA
http://[victim]/%A

  * Versions Vulnérables *
 
 Xeneo Web Server <=2.2.9.0
 

  * Solution *
 
Utiliser Xeneo Web Server version 2.2.10.
 

  * Crédits *
 
Faille découverte par badpack3t et Secunia (Avril 2003).

   

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits