VU#461364: 오픈 소스 웹 서버 Hiawatha... 노트

VU#461364: 오픈 소스 웹 서버 Hiawatha에서 여러 취약점이 발견되었습니다.

Hiawatha는 여러 운영 체제를 지원하며 성능으로 알려진 오픈 소스 웹 서버입니다. Hiawatha의 특정 버전에서 세 가지 취약점이 확인되었습니다. fetch_request 함수는 부적절한 헤더 처리로 인해 요청 스머글링에 취약하여, 제한된 리소스에 대한 접근을 허용할 수 있습니다. Tomahawk 컴포넌트는 strcmp 사용으로 인해 관리 클라이언트에서 인증 시간 공격 취약점을 가지고 있습니다. XSLT show_index 함수에는 이중 해제 메모리 오류가 존재하여 데이터 손상 및 임의 코드 실행으로 이어질 수 있습니다. 이러한 취약점은 Hiawatha 버전 8.5부터 11.7까지 영향을 미치며, 이중 해제 오류는 특히 버전 10.8.2부터 11.7까지에 해당합니다. 이러한 결함을 악용하면 인증 우회, 세션 하이재킹, 악성 페이로드 주입, 코드 실행으로 이어질 수 있습니다. Hiawatha는 더 이상 적극적으로 지원되지 않지만, 개발자는 이러한 문제를 인지했습니다. 세 가지 취약점에 대한 완화 및 해결책이 테스트되었으며, 향후 릴리스에 포함될 예정입니다. 사용자는 업데이트된 버전이 출시되면 설치하는 것이 좋습니다. 이러한 문제를 보고한 Keysight의 Ali Norouzi에게 감사를 표합니다.