Множественные уязвимости в Apache

Дата публикации:16.09.2004
Дата изменения:19.05.2009
Всего просмотров:987
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-0747
CVE-2004-0786
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Повышение привилегий
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Apache 2.0.x
Уязвимые версии: Apache версии 2.0.35 по 2.0.50

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю повысить свои привилегии, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки при обработке IPv6 URI в библиотеке apr-util. Удаленный пользователь может с помощью специально сформированного HTTP запроса вызвать отказ в обслуживании приложения или выполнить произвольный код на целевой системе.

2. Уязвимость существует из-за ошибки проверки границ данных при обработке переменных окружения. Злоумышленник может с помощью специально сформированного ".htaccess" файла вызвать переполнение буфера и выполнить произвольный код на целевой системе с привилегиями Web сервера.

URL производителя: www.apache.org

Решение: Установите последнюю версию 2.0.51 сайта производителя.

Журнал изменений:

19.05.2009
Изменено описание уязвимостей.

Ссылки: [ANNOUNCE] Apache HTTP Server 2.0.51 Released

http://www.uniras.gov.uk/vuls/2004/403518/index.htm
http://www.kb.cert.org/vuls/id/481998