FreeBSD:多個實作 -- 透過雜湊演算法衝突造成的 DoS (91be81e7-3fea-11e1-afc7-2c4138874f7d)
high Nessus Plugin ID 57552
語系:
概要
遠端 FreeBSD 主機缺少一個或多個安全性相關更新。說明
oCERT 報告:多種程式設計語言受到雜湊資料結構中的金鑰/值配對之儲存函式的拒絕服務 (DoS) 情形影響,可藉由惡意利用基礎雜湊演算法中的可預測衝突利用此情形。
此版在 Web 伺服器應用程式和/或架構中發現特定漏洞。尤其是,未充分限制 POST 要求中的參數數量及基礎語言之雜湊函式中的可預測衝突內容,可使 Web 應用程式容易遭受 DoS 情形影響。使用特製之 HTTP 要求的攻擊者可導致 100% CPU 使用率,視目標應用程式和伺服器效能而定,此情形可持續數小時,放大效果非常顯著,且攻擊者端需要一點頻寬和時間。
已針對下列語言實作報告雜湊函式中的可預測衝突情形:Java、JRuby、PHP、Python、Rubinius、Ruby。就 Ruby 語言而言,由於 1.9.x 分支包含雜湊函式隨機化,因此,此版本未受到可預測衝突情形影響。
此公告中所概述的弱點幾乎與 2003 年所報告和《透過演算法複雜攻擊造成的拒絕服務》報告中所述的弱點相同,此弱點會影響 Perl 語言。
解決方案
更新受影響的套件。另請參閱
http://ocert.org/advisories/ocert-2011-003.html
Plugin 詳細資訊
嚴重性: High
ID: 57552
檔案名稱: freebsd_pkg_91be81e73fea11e1afc72c4138874f7d.nasl
版本: 1.10
類型: local
已發布: 2012/1/16
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: High
基本分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:jruby, p-cpe:/a:freebsd:freebsd:node, p-cpe:/a:freebsd:freebsd:redis, p-cpe:/a:freebsd:freebsd:ruby%2boniguruma, p-cpe:/a:freebsd:freebsd:rubygem-rack, cpe:/o:freebsd:freebsd, p-cpe:/a:freebsd:freebsd:ruby, p-cpe:/a:freebsd:freebsd:ruby%2bnopthreads%2boniguruma, p-cpe:/a:freebsd:freebsd:v8, p-cpe:/a:freebsd:freebsd:ruby%2bnopthreads
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2012/1/16
弱點發布日期: 2011/12/28
參考資訊
CVE: CVE-2011-4815, CVE-2011-4838, CVE-2011-5036, CVE-2011-5037