HTTP Request Smuggling атака в различных proxy и web серверах
| Дата публикации: | 04.07.2005 |
| Дата изменения: | 27.01.2008 |
| Всего просмотров: | 2116 |
| Опасность: | Низкая |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Уязвимые версии: Squid 2.5.STABLE7 и более ранние версии Sun Java System Web Proxy Server 3.6 SP4 SunONE Web Server 6.1 SP4 DeleGate 8.9.2 Microsoft Internet Information Server 5.0, 6.0 Apache Tomcat 4.1.24, 5.0.19 BEA WebLogic Server 8.1 SP1 IBM WebSphere 5.0, 5.1 Oracle Application Server Web Cache 9.0.2 Oracle Application Server 9.0.2 Описание: Удаленный пользователь может послать специально сформированный HTTP запрос, содержащий два поля заголовка Content-Length, что заставит уязвимый сервер и следующий за ним HTTP агент (Web сервер или еще один прокси сервер) обработать этот запрос по-разному. Злоумышленник может внедрить злонамеренный запрос в обычный и потенциально отравить кеш прокси сервера. Злоумышленник может так же создать специальный HTTP запрос, содержащий большое количество пробелов и дополнительный взвод каретки в именах HTTP заголовков для удачной эксплуатации этой уязвимости. Решение: Способов устранения уязвимости не существует в настоящее время. |