Недостаток в mod_dav и Basic Authentication позволяет удаленному пользователю аварийно завершить работу Apache Web Server

Дата публикации:
30.05.2003
Всего просмотров:
1199
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Две уязвимости обнаружены в Apache web сервере. Первая позволяет удаленному пользователю аварийно завершить работу связанного дочернего Apache процесса. Вторая позволяет удаленному пользователю остановить работу Basic Authentication метода.

Согласно сообщению, недостаток обнаружен в модуле mod_dav и возможно в других модулях. Удаленный атакующий может аварийно завершить работу дочернего процесса Apache. Дополнительные детали будет сообщены iDEFENSE в ближайшее время.

Также сообщается, что удаленный пользователь может эксплуатировать уязвимость на UNIX платформах, чтобы отключить работу HTTP Basic Authentication метода. Недостаток происходит из-за проблем в безопасном потоке (thread-safe) в функции apr_password_validate(). Ошибка в сценарии конфигурации может заставить функцию apr_password_validate() выйти из безопасного потока на платформах, которые используют функцию crypt_r(), включая AIX и Linux. Версии Apache 2.0 на платформах, которые не используют crypt_r() или thread-safe crypt() также уязвимы, например Mac OS X. Если используется threaded multi-processing module (MPM) (не включен по умолчанию), удаленный пользователь может заставить сервер не принимать правильное имя пользователя/пароль, представленное серверу для Basic Authentication, пока сервер не будет перезапущен. Считается, что этот недостаток не может эксплуатироваться удаленно.

Уязвимость обнаружена в Apache Web Server 2.0 – 2.0.45 и устранена в 2.0.46

Ссылки: Apache bugs

или введите имя

CAPTCHA