Три новых уязвимости в BadBlue

В BadBlue обнаружено три новые уязвимости – отказ в обслуживании, ненадежное хранение паролей и раскрытие содержания произвольных файлов.

1. Запрос GET HTTP/1.0 (два пробела), приведет к полному зависанию сервера. Для восстановления нормальной работы потребуется перезапуск службы.
2. Запрос, содержащий неправильное представление NULL символа (% 00 вместо %00), заставит сервер раскрыть содержание произвольных файлов: GET /ext.ini.% 00.txt HTTP/1.0
3. Пароль в файле ext.ini хранится в незашифрованном виде. В комбинации с уязвимостью N2, удаленный атакующий может получить доступ к паролям на уязвимой системе.