近日,國家信息安全漏洞庫(CNNVD)收到關(guān)于GoAhead遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201912-058���、CVE-2019-5096)和GoAhead拒絕服務(wù)漏洞(CNNVD-201912-050�����、CVE-2019-5097)情況的報送����。成功利用漏洞的攻擊者可對目標(biāo)設(shè)備遠(yuǎn)程執(zhí)行代碼�,或者造成設(shè)備拒絕服務(wù)。GoAhead Web Server v5.0.1�����、v4.1.1、v3.6.5等版本均受漏洞影響�。目前,GoAhead官方已經(jīng)發(fā)布新版本修復(fù)了上述漏洞��,請用戶請盡快升級到最新版本進(jìn)行防護(hù)�。
一、漏洞介紹
GoAhead Web Server是一個開源的嵌入式Web 服務(wù)器����,在物聯(lián)網(wǎng)領(lǐng)域應(yīng)用較為廣泛,它被IBM�、HP、Oracle�、波音���、D-Link和摩托羅拉使用����。通過網(wǎng)絡(luò)搜索����,可發(fā)現(xiàn)超過70萬的設(shè)備使用了GoAhead。
GoAhead遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201912-058�、CVE-2019-5096):GoAhead Web Server 在處理 multipart/form-data 類型的 HTTP 請求時會觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞,未經(jīng)身份驗證的攻擊者所發(fā)送的惡意HTTP請求可能觸發(fā)Use-After-Free,破壞堆結(jié)構(gòu)���,導(dǎo)致任意命令執(zhí)行��。攻擊者可以在未授權(quán)的情況下以 GET 或 POST 的形式發(fā)送數(shù)據(jù)包�,并且所請求的資源不需要真實存在于目標(biāo)服務(wù)器上���。
GoAhead拒絕服務(wù)漏洞(CNNVD-201912-050�、CVE-2019-5097):GoAhead Web Server在處理multi-part/form-data類型的HTTP請求時存在一個拒絕服務(wù)漏洞�。未經(jīng)身份驗證的攻擊者可通過發(fā)送一個惡意HTTP請求導(dǎo)致服務(wù)器處理流程進(jìn)入死循環(huán)。攻擊者可以在未授權(quán)的情況下以 GET 或 POST 的形式發(fā)送數(shù)據(jù)包����,并且所請求的資源不需要真實存在于目標(biāo)服務(wù)器上。
二�����、危害影響
GoAhead遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201912-058�、CVE-2019-5096):成功利用漏洞的攻擊者可遠(yuǎn)程執(zhí)行代碼,查看設(shè)備的網(wǎng)絡(luò)狀況和文件結(jié)構(gòu)����,進(jìn)而獲取設(shè)備中存儲的文件����,甚至完全控制遠(yuǎn)程設(shè)備��。GoAhead Web Server v5.0.1����、v4.1.1、v3.6.5等版本均受漏洞影響��。
GoAhead拒絕服務(wù)漏洞(CNNVD-201912-050����、CVE-2019-5097):成功利用漏洞的攻擊者,可以造成設(shè)備拒絕服務(wù)��。GoAhead Web Server v5.0.1���、v4.1.1、v3.6.5等版本均受漏洞影響�����。
三�����、修復(fù)建議
目前,GoAhead官方已經(jīng)發(fā)布新版本修復(fù)了漏洞�����,請用戶請盡快升級到最新版本進(jìn)行防護(hù)��。更新鏈接如下:
https://www.embedthis.com/goahead/download.html
本通報由CNNVD技術(shù)支撐單位——深信服科技股份有限公司����、北京長亭科技有限公司提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況���,及時發(fā)布相關(guān)信息�����。如有需要��,可與CNNVD聯(lián)系��。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
