Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Уязвимость в программе, установленной на тысячах сетевых устройств, грозит удаленным выполнением кода.
Исследователи из Cisco Talos обнаружили две новые уязвимости в веб-сервере GoAhead компании EmbedThis. Недостатки позволяют не прошедшему аутентификацию злоумышленнику выполнить на устройстве сторонний код или добиться состояния отказа в обслуживании. Проблема может затронуть широкий спектр сетевого и медицинского оборудования, мобильные телефоны, офисную технику. Разработчики исправили баги, выпустив новый релиз продукта.
Одна из ошибок имеет критический уровень опасности. Уязвимость, зарегистрированная как CVE-2019-5096, допускает выполнение вредоносного кода через запрос вида GET или POST. Как пояснили исследователи, при обработке HTTP-запроса с несколькими заголовками Content-Disposition может возникнуть состояние use-after-free. Проблема связана с очисткой структур кучи, используемых для хранения различных частей запроса.
Злоумышленнику не требуется авторизация на сервере для эксплуатации уязвимости. Более того, указанный в запросе ресурс может отсутствовать на устройстве. Баг грозит выполнением стороннего кода в рамках системы и получил близкий к максимальному рейтинг опасности — 9,8 балла по шкале CVSS. Возможность успешной атаки зависит от конфигурации сервера — по мнению ИБ-специалистов, ошибка не может привести к запуску стороннего скрипта в некоторых оригинальных сборках продукта.
Вторая уязвимость менее опасна и оценивается экспертами в 5,3 балла CVSS. Так же как и первый баг, она связана с неправильной обработкой многосоставных HTTP-запросов GET и POST. При разрыве соединения, произошедшем до завершения обработки данных из заголовка Content-Length, сервер будет продолжать отправлять ответ на отключенный узел в режиме бесконечного цикла. В результате создаются условия для полной загрузки процессора и отказа в обслуживании.
Эксплуатация уязвимости CVE-2019-5097 во многом зависит от системных ресурсов, доступных на устройстве. Приборы с мощным процессором и большим объемом оперативной памяти менее чувствительны к атаке.
Оба бага затрагивают веб-серверы GoAhead версий 5.0.1, 4.1.1 и 3.6.5. Разработчики получили информацию о выявленных недостатках еще в конце августа этого года, а 21 ноября выпустили обновления для всех уязвимых продуктов. Патчи для устройств, использующих встроенные серверы EmbedThis, должны подготовить их производители.
В 2017 году ИБ-специалисты уже находили RCE-баги в линейке продуктов GoAhead. Баг в обработчике CGI-запросов позволял злоумышленникам дистанционно запустить на устройстве вредоносный скрипт.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |