Acme mini_httpd 通訊協定字串處理記憶體洩漏
medium Nessus Plugin ID 90925
語系:
概要
遠端 Web 伺服器受到資訊洩漏弱點的影響。說明
遠端主機上執行的 Acme mini_httpd web 伺服器受到 mini_httpd.c 內 add_headers() 函式的一個瑕疵影響,處理具有極長通訊協定字串的 HTTP 要求時會觸發該瑕疵。未經驗證的遠端攻擊者可惡意利用此瑕疵,透過特製要求造成超出邊界讀取錯誤,進而導致洩漏處理程序記憶體中的敏感資訊。解決方案
如果可能,請升級至 Acme mini_httpd 1.23 版或更新版本。針對供應商硬體如數據機或工業控制裝置,請確保韌體為正確版本,和/或其網路存取權僅限於受信任的網路。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 90925
檔案名稱: minihttp_memory_leak.nasl
版本: 1.4
類型: remote
系列: Web Servers
已發布: 2016/5/5
已更新: 2019/11/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.9
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: cpe:/a:acme:mini_httpd
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
修補程式發佈日期: 2015/12/28
弱點發布日期: 2015/1/23
參考資訊
CVE: CVE-2015-1548
BID: 73450