Apache bis 1.3.32 mod_proxy Content-Length Pufferüberlauf

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
6.6	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine kritische Schwachstelle in Apache HTTP Server bis 1.3.32 gefunden. Davon betroffen ist unbekannter Code der Komponente mod_proxy. Durch das Manipulieren des Arguments Content-Length mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Sicherheitslücke ist unter CVE-2004-0492 bekannt. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Darüber hinaus steht ein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.

Detailsinfo

Apache ist ein populärer, freier open-source Webserver, der für viele verschiedene Plattformen erhältlich ist. In der 1er-Familie entdeckte Georgi Guninski eine Pufferüberlauf-Schwachstelle bei der Verarbeitung langer Content-Length-Parameter im HTTP-Header einer Anfrage. Darüber kann das Modul mod_proxy zum Absturz gebracht und theoretisch auch beliebiger Programmcode ausgeführt werden. Zusammen mit dem Advisory wurde ein in Perl geschriebener proof-of-concept Exploit publiziert. Ebenfalls ist im Advisory ein Fix enthalten, wobei das Problem durch das Apache Team selber in der Version 1.3.32 behoben wurde. Die jeweiligen Linux-Distributoren haben mit einer Aktualisierung ihrer Pakete reagiert. Als Workaround kann empfohlen werden, die HTTP-Anfragen vor der Verarbeitung durch den Apache-Server durch ein restriktives Application Gateway überprüfen zu lassen oder den mod_proxy direkt zu deaktivieren. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (16387), Tenable (14527), SecurityFocus (BID 10508†), OSVDB (6839†) und Secunia (SA11841†) dokumentiert. Zusätzliche Informationen finden sich unter securityfocus.com. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-1630, VDB-20195 und VDB-21601. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Für den Vulnerability Scanner Nessus wurde am 30.08.2004 ein Plugin mit der ID 14527 (GLSA-200406-16 : Apache 1.3: Buffer overflow in mod_proxy) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Gentoo Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 86688 (Sun Solaris Apache Web Server Multiple Vulnerabilities) zur Prüfung der Schwachstelle an.

Wie immer bedeutet dies, dass mit einer Vielzahl neuer Angriffe auf die jungen Schwachstellen zu rechnen ist. Skript-Kiddies werden die Gunst der Stunde nutzen wollen, um ihren Spielereien nachzugehen. Aufgrund der hohen Verbreitung des Apache sind die gefundenen Fehler wahrlich ein gefundenes Fressen. Umso wichtiger ist, es seine Systeme schnellstmöglich zu schutzen, was in erster Linie mit dem Einspielen der vorgeschlagenen Patches bzw. den Update auf die aktualisierte Apache Version getan werden sollte. Es ist nur eine Frage der Zeit, bis produktive Exploits die Runde machen werden.

Produktinfo

Typ

• Web Server

Hersteller

• Apache

Name

• HTTP Server

Version

• 1.3.0
• 1.3.1
• 1.3.2
• 1.3.3
• 1.3.4
• 1.3.5
• 1.3.6
• 1.3.7
• 1.3.8
• 1.3.9
• 1.3.10
• 1.3.11
• 1.3.12
• 1.3.13
• 1.3.14
• 1.3.15
• 1.3.16
• 1.3.17
• 1.3.18
• 1.3.19
• 1.3.20
• 1.3.21
• 1.3.22
• 1.3.23
• 1.3.24
• 1.3.25
• 1.3.26
• 1.3.27
• 1.3.28
• 1.3.29
• 1.3.30
• 1.3.31
• 1.3.32

Lizenz

• Open-Source

Support

• end of life (old version)

Webseite

• Hersteller: https://www.apache.org/

CPE 2.3info

• 🔍
• 🔍
• 🔍

CPE 2.2info

• 🔍
• 🔍
• 🔍

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-122 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 14527
Nessus Name: GLSA-200406-16 : Apache 1.3: Buffer overflow in mod_proxy
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Nessus Port: 🔍

OpenVAS ID: 15555
OpenVAS Name: Apache mod_proxy content-length buffer overflow
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Patch: marc.theaimsgroup.com

Snort ID: 2580
Snort Message: WEB-MISC server negative Content-Length attempt
Snort Klasse: 🔍
Snort Pattern: 🔍

Suricata ID: 2102580
Suricata Klasse: 🔍
Suricata Message: 🔍

TippingPoint: 🔍

McAfee IPS: 🔍
McAfee IPS Version: 🔍

SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍

Timelineinfo

27.05.2004 🔍
10.06.2004 +14 Tage 🔍
10.06.2004 +0 Tage 🔍
10.06.2004 +0 Tage 🔍
10.06.2004 +0 Tage 🔍
10.06.2004 +0 Tage 🔍
13.06.2004 +2 Tage 🔍
14.06.2004 +1 Tage 🔍
24.06.2004 +10 Tage 🔍
06.08.2004 +43 Tage 🔍
30.08.2004 +24 Tage 🔍
16.12.2024 +7413 Tage 🔍

Quelleninfo

Hersteller: apache.org

Advisory: guninski.com
Person: Georgi Guninski
Status: Bestätigt

CVE: CVE-2004-0492 (🔍)
GCVE (CVE): GCVE-0-2004-0492
GCVE (VulDB): GCVE-100-706

OVAL: 🔍

CERT: 🔍
X-Force: 16387 - Apache HTTP Server mod_proxy Content-Length buffer overflow, High Risk
SecurityFocus: 10508 - Apache Mod_Proxy Remote Negative Content-Length Buffer Overflow Vulnerability
Secunia: 11841 - Apache mod_proxy "Content-Length:" Header Buffer Overflow Vulnerability, Highly Critical
OSVDB: 6839 - Apache HTTP Server mod_proxy Content-Length Overflow
Vulnerability Center: 4460 - Buffer Overflow in Apache 1.3.26 – 1.3.31 Mod_Proxy Module, High

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 14.06.2004 11:53
Aktualisierung: 16.12.2024 03:03
Anpassungen: 14.06.2004 11:53 (114), 16.04.2019 15:10 (3), 09.03.2021 14:35 (2), 16.12.2024 03:03 (17)
Komplett: 🔍
Cache ID: 216:464:103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion

Want to know what is going to be exploited?

We predict KEV entries!