Abyss Webfu服务器不完整HTTP请求远程拒绝服务攻击漏洞

漏洞信息详情

Abyss Webfu服务器不完整HTTP请求远程拒绝服务攻击漏洞

• CNNVD编号：CNNVD-200312-332
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-1364
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-04-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2003-12-31
  
• 厂        商：
  
  aprelium_technologies
• 漏洞来源：
  Auriemma Luigi※ al…

Abyss Web Server是一款免费的WEB服务程序，可使用在Windows和Linux操作系统上。
Abyss Web服务程序在处理部分不完整HTTP请求时存在问题，远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击。
问题存在与当Abyss Web服务程序处理\”Connection：\”和\”Range：\”字段，由于Abyss接收到这些请求时，会读取每一个HTTP段，和每个段中的值，不但读取，而且与一些默认字符串进行对比操作，如\”Connection：\”字段会对比\”close\” 还是\”Keep-Alive\”。因此如果攻击者提交的请求中这些字段全为空，程序就会由于内存读取错误而崩溃。

厂商补丁：
Aprelium Technologies
———————
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Aprelium Technologies Upgrade Abyss Web Server 1.1.4

http://www.aprelium.com/abyssws/download.php” target=”_blank”>
http://www.aprelium.com/abyssws/download.php

来源: BID
名称: 7287
链接:http://www.securityfocus.com/bid/7287

来源: XF
名称: abyss-http-get-dos(11718)
链接:http://xforce.iss.net/xforce/xfdb/11718

来源: BUGTRAQ
名称: 20030405 Abyss X1 1.1.2 remote crash
链接:http://archives.neohapsis.com/archives/bugtraq/2003-04/0095.html

来源：NSFOCUS
名称：4667
链接：http://www.nsfocus.net/vulndb/4667