亚州精品国产一线永久_久久久久亚洲精品男人的天堂_亚洲无码国产一区二区_中文字幕亚洲无线码高清

GoAhead Web Server存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

發(fā)布時間:2017-12-20

2017年12月18日,國家信息安全漏洞共享平臺(CNVD)收錄了GoAhead Web Server遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2017-37422 ,對應(yīng)CVE-2017-17562)。攻擊者可利用上述漏洞使用特殊的參數(shù)名稱如LD_PRELOAD劫持libc庫,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

一、漏洞情況分析

GoAhead是一個開源(商業(yè)許可)、簡單、輕巧、功能強大、可以在多個平臺運行的嵌入式Web Server。它是世界上最受歡迎的嵌入式Web服務(wù)器,被部署在數(shù)以百萬計的嵌入式設(shè)備上。

近日,GoAhead被曝出遠(yuǎn)程命令執(zhí)行漏洞。根據(jù)知道創(chuàng)宇安全團隊提供的漏洞分析,該漏洞源于使用不受信任的HTTP請求參數(shù)初始化CGI腳本環(huán)境,并且會影響所有啟用了動態(tài)鏈接可執(zhí)行文件(CGI腳本)支持的用戶。當(dāng)與glibc動態(tài)鏈接器結(jié)合使用時,使用特殊變量(如LD_PRELOAD)可以濫用該漏洞,從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

二、漏洞影響范圍

根據(jù)官方的安全公告,該漏洞會影響GoAhead 2.5.0~3.6.5(不含3.6.5)之間的所有版本。(GoAhead 2.5.0版本開始進行了重構(gòu),之前的版本在網(wǎng)上已不可尋)

三、防護建議

GoAhead官方已發(fā)布安全更新公告,并發(fā)布了最新版3.6.5對該漏洞進行了修復(fù)。CNVD強烈建議受影響的用戶盡快升級到最新版本進行防護:https://github.com/embedthis/goahead/releases。

附:參考鏈接:

https://embedthis.com/goahead/

https://www.elttam.com.au/blog/goahead/ 

https://embedthis.com/blog/posts/2017/goahead-security-update.html

https://nvd.nist.gov/vuln/detail/CVE-2017-17562

http://www.cnvd.org.cn/flaw/show/CNVD-2017-37422


 


?


聯(lián)系電話:010-62199788
公司地址:北京市昌平區(qū)七北路TBD云集中心(42號院)16號樓
Copyright 2015-2020 長安通信科技有限責(zé)任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號

掃碼關(guān)注