Удаленное переполнение буфера в Abyss Web Server
| Дата публикации: | 03.07.2003 |
| Всего просмотров: | 1183 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Отказ в обслуживании Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Abyss Web Server 1.x |
| Описание: | Две уязвимости обнаружены в Abyss Web Server X1. Переполнение буфера позволяет удаленно выполнять произвольный код. Также удаленный пользователь может выполнить XSS нападение.
1. Переполнение буфера чрезмерно длинным HTTP GET запросом: GET /AAAAAA[...]AAAA:\ HTTP/1.02. XSS – Удаленный пользователь может внедрить перевод каретки, перевод строки и пробел в HTTP заголовке 'Location'. Сервер возвратит '302' HTTP ошибку и отобразит страницу с полем 'Location'. Это, как сообщается, может использоваться для XSS нападение. Уязвимость обнаружена в Abyss Web Server 1.1.2 |
| Ссылки: | Aprelium Abyss webserver X1 arbitrary code execution and header |