Security Lab

Предсказуемый ID в Apache mod_usertrack

Дата публикации:12.11.2001
Всего просмотров:1317
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

Apache поставляется с модулем, называемым 'mod_usertrack'. Этот модуль содержит код, позволяющий генерировать уникальные идентификаторы для индивидуальных web сеансов и запросов. Идентификатор сгенерированного сеанса, не случаен. Он генерируется, используя ip адрес клиента, системное время и ID процесса сервера. Эти идентификаторы, как предполагается, не используются для опознавательных целей. Любые приложения, которые полагаются на эти идентификаторы для идентификации, могут быть уязвимы к нападениям предсказания идентификатора. Должно быть отмечено, что это - не уязвимость в Apache. Это - уязвимость приложений, использующих эти идентификаторы, чтобы проследить заверенных пользователей.
Уязвимый модуль присутствует в Apache 1.3.11-1.3.20.

Более детально об уязвимостях этого типа можно узнать здесь:
http://www.securitylab.ru/owasp/owasp-sm-sh-1.htm.