GoAhead Web服务器中的关键缺陷可能影响广泛的IoT设备
日期:2019-12-09  浏览:76
  网络安全研究人员今天发现了GoAhead Web服务器软件中两个新漏洞的详细信息,GoAhead Web服务器软件是一个广泛嵌入在数亿个与Internet连接的智能设备中的微型应用程序。
  被指定为CVE-2019-5096的两个漏洞之一是关键代码执行漏洞,攻击者可以利用此漏洞在易受攻击的设备上执行恶意代码并控制它们。
  第一个漏洞在于在基础GoAhead Web服务器应用程序中处理多部分/表单数据请求的方式,从而影响GoAhead Web Server版本v5.0.1,v.4.1.1和v3.6.5。
  根据Cisco Talos的研究人员的说法,在处理特制HTTP请求时,利用此漏洞的攻击者可能导致服务器上的使用后使用情况和破坏堆结构,从而导致代码执行攻击。
  第二个漏洞被分配为CVE-2019-5097,它也位于GoAhead Web Server的同一组件中,并且可以通过相同的方式加以利用,但这会导致拒绝服务攻击。
  “特制的HTTP请求可能会导致进程中的无限循环(导致100%的CPU利用率)。该请求可以以GET或POST请求的形式未经身份验证,并且不需要服务器上存在请求的资源, “该研究员说。
  但是,不必在运行GoAhead Web服务器漏洞版本的所有嵌入式设备中利用这两个漏洞。
  根据研究人员的说法,这是因为GoAhead是可自定义的Web应用程序框架,因此公司会根据其环境和要求来实施该应用程序,因此“可能无法在所有构建版本中均实现缺陷”。
  研究人员解释说:“另外,需要身份验证的页面不允许在没有身份验证的情况下访问漏洞,因为身份验证是在到达上传处理程序之前进行的。”
  Talos的研究人员在今年8月下旬向GoAhead Web服务器应用程序的开发人员EmbedThis报告了这两个漏洞,供应商在两周前解决了这些问题并发布了安全补丁。
新闻分类


扫一扫咨询


扫一扫咨询