HTTP Request Smuggling атака в web сервере Apache

Дата публикации:
30.06.2005
Дата изменения:
29.03.2008
Всего просмотров:
2209
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache 1.3.x
Apache 2.0.x
Уязвимые версии:
Apache версии до 1.3.34
Apache версии до 2.0.55

Описание:
Уязвимость позволяет удаленному пользователю произвести HTTP Request Smuggling атаку (атаку со скрытым HTTP запросом) на web приложения.

Удаленный пользователь может послать серверу специально сформированный запрос с заголовками 'Transfer-Encoding: chunked' и 'Content-Length' и заставить уязвимый сервер перенаправить запрос с указанным значением HTTP заголовка Content-Length. В результате, злонамеренный запрос может быть внедрен в обычный запрос и обработан уязвимым приложением. Удаленный пользователь может отравить кеш промежуточных прокси серверов и изменить содержимое страниц сайта.

URL производителя: www.apache.org

Решение: Установите последнюю версию с сайта производителя.

Ссылки: Apache Chunked Transfer-Encoding and Content-Length Processing Lets Remote Users Smuggle HTTP Requests

или введите имя

CAPTCHA