Security Lab

Три новых уязвимости в BadBlue

Дата публикации:19.07.2002
Всего просмотров:919
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Working Resources BadBlue– web сервер для Windows.

В BadBlue обнаружено три новые уязвимости – отказ в обслуживании, ненадежное хранение паролей и раскрытие содержания произвольных файлов.

  1. Запрос GET HTTP/1.0 (два пробела), приведет к полному зависанию сервера. Для восстановления нормальной работы потребуется перезапуск службы.
  2. Запрос, содержащий неправильное представление NULL символа (% 00 вместо %00), заставит сервер раскрыть содержание произвольных файлов: GET /ext.ini.% 00.txt HTTP/1.0
  3. Пароль в файле ext.ini хранится в незашифрованном виде. В комбинации с уязвимостью N2, удаленный атакующий может получить доступ к паролям на уязвимой системе.
Ссылки: Three New BadBlue Vulnerabilities