VU#461364: オープンソースウェブサーバー Hiaw... ノート

VU#461364: オープンソースウェブサーバー Hiawatha に複数の脆弱性

Hiawathaは、複数のオペレーティングシステムをサポートする高性能のオープンソースWebサーバーとして知られています。Hiawathaの特定のバージョンで3つの脆弱性が特定されています。fetch_request関数は、不適切なヘッダー処理によりリクエストスムグリングの影響を受け、制限付きリソースへのアクセスを可能にします。Tomahawkコンポーネントの管理クライアントには、strcmpの使用により認証タイミング攻撃の脆弱性があります。XSLT show_index関数には、データの破損や任意のコードの実行につながる可能性のある二重のメモリ解放エラーがあります。これらの脆弱性は、Hiawathaのバージョン8.5から11.7に影響し、二重のメモリ解放はバージョン10.8.2から11.7に特有です。これらの欠陥を悪用すると、認証のバイパス、セッションのハイジャック、悪意のあるペイロードの注入、コードの実行につながる可能性があります。Hiawathaは現在アクティブにサポートされていませんが、開発者はこれらの問題を認識しています。3つの脆弱性すべての緩和策と対策がテストされ、将来のリリースに含まれています。ユーザーは、更新されたバージョンが利用可能になるとインストールすることをお勧めします。KeysightのAli Norouziは、これらの問題を報告したことを認めています。