Apache HTTP Server 2.4.7 mod_log_config.c log_cookie 输入验证漏洞

admin

0
文章

0
评论

2023-12-07 06:12:55 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

中危 Apache HTTP Server 2.4.7 mod_log_config.c log_cookie 输入验证漏洞

CVE编号

CVE-2014-0098

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2014-03-18

漏洞描述

Apache HTTP Server是一款基于Apache的服务程序。 Apache HTTP Server mod_log_config模块中的log_cookie函数(mod_log_config.c)处理畸形cookie时存在安全漏洞，当记录一个未分配值的cookie时，可使服务崩溃，造成拒绝服务攻击。

解决建议

Apache HTTP Server 2.4.8已经修复该漏洞，建议用户下载更新：http://www.apache.org/dist/httpd/CHANGES_2.4.9

参考链接
http://advisories.mageia.org/MGASA-2014-0135.html
http://archives.neohapsis.com/archives/bugtraq/2014-10/0101.html
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10698
http://lists.apple.com/archives/security-announce/2015/Apr/msg00001.html
http://marc.info/?l=bugtraq&m=141017844705317&w=2
http://marc.info/?l=bugtraq&m=141390017113542&w=2
http://seclists.org/fulldisclosure/2014/Dec/23
http://secunia.com/advisories/58230
http://secunia.com/advisories/58915
http://secunia.com/advisories/59219
http://secunia.com/advisories/59315
http://secunia.com/advisories/59345
http://secunia.com/advisories/60536
http://security.gentoo.org/glsa/glsa-201408-12.xml
http://support.f5.com/kb/en-us/solutions/public/15000/300/sol15320.html
http://svn.apache.org/repos/asf/httpd/httpd/branches/2.2.x/CHANGES
http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/loggers/mod_log_config.c
http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/loggers/mod_log_config...
http://www-01.ibm.com/support/docview.wss?uid=swg21668973
http://www-01.ibm.com/support/docview.wss?uid=swg21676091
http://www-01.ibm.com/support/docview.wss?uid=swg21676092
http://www.apache.org/dist/httpd/CHANGES_2.4.9
http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
http://www.oracle.com/technetwork/topics/security/cpujul2014-1972956.html
http://www.securityfocus.com/archive/1/534161/100/0/threaded
http://www.securityfocus.com/bid/66303
http://www.ubuntu.com/usn/USN-2152-1
http://www.vmware.com/security/advisories/VMSA-2014-0012.html
https://blogs.oracle.com/sunsecurity/entry/multiple_input_validation_vulnerab...
https://httpd.apache.org/security/vulnerabilities_24.html
https://lists.apache.org/thread.html/56c2e7cc9deb1c12a843d0dc251ea7fd3e7e8029...
https://lists.apache.org/thread.html/84a3714f0878781f6ed84473d1a503d2cc382277...
https://lists.apache.org/thread.html/8d63cb8e9100f28a99429b4328e4e7cebce861d5...
https://lists.apache.org/thread.html/f7f95ac1cd9895db2714fa3ebaa0b94d0c6df360...
https://lists.apache.org/thread.html/r476d175be0aaf4a17680ef98c5153b4d336eaef...
https://lists.apache.org/thread.html/r57608dc51b79102f3952ae06f54d5277b649c86...
https://lists.apache.org/thread.html/r75cbe9ea3e2114e4271bbeca7aff96117b50c1b...
https://lists.apache.org/thread.html/r83109088737656fa6307bd99ab40f8ff0269ae5...
https://lists.apache.org/thread.html/r9821b0a32a1d0a1b4947abb6f3630053fcbb2ec...
https://lists.apache.org/thread.html/r9ea3538f229874c80a10af473856a81fbf5f694...
https://lists.apache.org/thread.html/r9f93cf6dde308d42a9c807784e8102600d0397f...
https://lists.apache.org/thread.html/ra7f6aeb28661fbf826969526585f16856abc461...
https://lists.apache.org/thread.html/rad01d817195e6cc871cb1d73b207ca326379a20...
https://lists.apache.org/thread.html/rc998b18880df98bafaade071346690c2bc1444a...
https://lists.apache.org/thread.html/rcc44594d4d6579b90deccd4536b5d31f099ef56...
https://lists.apache.org/thread.html/rd18c3c43602e66f9cdcf09f1de233804975b957...
https://lists.apache.org/thread.html/rd336919f655b7ff309385e34a143e41c503e133...
https://lists.apache.org/thread.html/rdca61ae990660bacb682295f2a09d34612b7bb5...
https://lists.apache.org/thread.html/re3d27b6250aa8548b8845d314bb8a350b3df326...
https://lists.apache.org/thread.html/rf6449464fd8b7437704c55f88361b66f12d5b5f...
https://lists.apache.org/thread.html/rfbaf647d52c1cb843e726a0933f156366a806ce...
https://puppet.com/security/cve/cve-2014-0098
https://support.apple.com/HT204659
https://support.apple.com/kb/HT6535

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	http_server	*		Up to (including) 2.4.7
	运行在以下环境
	应用	apache	http_server	2.0	-
	运行在以下环境
	应用	apache	http_server	2.0.28	-
	运行在以下环境
	应用	apache	http_server	2.0.32	-
	运行在以下环境
	应用	apache	http_server	2.0.34	-
	运行在以下环境
	应用	apache	http_server	2.0.35	-
	运行在以下环境
	应用	apache	http_server	2.0.36	-
	运行在以下环境
	应用	apache	http_server	2.0.37	-
	运行在以下环境
	应用	apache	http_server	2.0.38	-
	运行在以下环境
	应用	apache	http_server	2.0.39	-
	运行在以下环境
	应用	apache	http_server	2.0.40	-
	运行在以下环境
	应用	apache	http_server	2.0.41	-
	运行在以下环境
	应用	apache	http_server	2.0.42	-
	运行在以下环境
	应用	apache	http_server	2.0.43	-
	运行在以下环境
	应用	apache	http_server	2.0.44	-
	运行在以下环境
	应用	apache	http_server	2.0.45	-
	运行在以下环境
	应用	apache	http_server	2.0.46	-
	运行在以下环境
	应用	apache	http_server	2.0.47	-
	运行在以下环境
	应用	apache	http_server	2.0.48	-
	运行在以下环境
	应用	apache	http_server	2.0.49	-
	运行在以下环境
	应用	apache	http_server	2.0.50	-
	运行在以下环境
	应用	apache	http_server	2.0.51	-
	运行在以下环境
	应用	apache	http_server	2.0.52	-
	运行在以下环境
	应用	apache	http_server	2.0.53	-
	运行在以下环境
	应用	apache	http_server	2.0.54	-
	运行在以下环境
	应用	apache	http_server	2.0.55	-
	运行在以下环境
	应用	apache	http_server	2.0.56	-
	运行在以下环境
	应用	apache	http_server	2.0.57	-
	运行在以下环境
	应用	apache	http_server	2.0.58	-
	运行在以下环境
	应用	apache	http_server	2.0.59	-
	运行在以下环境
	应用	apache	http_server	2.0.60	-
	运行在以下环境
应用	apache	http_server	2.0.61	-
运行在以下环境
应用	apache	http_server	2.0.63	-
运行在以下环境
应用	apache	http_server	2.0.64	-
运行在以下环境
应用	apache	http_server	2.0.9	-
运行在以下环境
应用	apache	http_server	2.1	-
运行在以下环境
应用	apache	http_server	2.1.1	-
运行在以下环境
应用	apache	http_server	2.1.2	-
运行在以下环境
应用	apache	http_server	2.1.3	-
运行在以下环境
应用	apache	http_server	2.1.4	-
运行在以下环境
应用	apache	http_server	2.1.5	-
运行在以下环境
应用	apache	http_server	2.1.6	-
运行在以下环境
应用	apache	http_server	2.1.7	-
运行在以下环境
应用	apache	http_server	2.1.8	-
运行在以下环境
应用	apache	http_server	2.1.9	-
运行在以下环境
应用	apache	http_server	2.2	-
运行在以下环境
应用	apache	http_server	2.2.0	-
运行在以下环境
应用	apache	http_server	2.2.1	-
运行在以下环境
应用	apache	http_server	2.2.10	-
运行在以下环境
应用	apache	http_server	2.2.11	-
运行在以下环境
应用	apache	http_server	2.2.12	-
运行在以下环境
应用	apache	http_server	2.2.13	-
运行在以下环境
应用	apache	http_server	2.2.14	-
运行在以下环境
应用	apache	http_server	2.2.15	-
运行在以下环境
应用	apache	http_server	2.2.16	-
运行在以下环境
应用	apache	http_server	2.2.17	-
运行在以下环境
应用	apache	http_server	2.2.18	-
运行在以下环境
应用	apache	http_server	2.2.19	-
运行在以下环境
应用	apache	http_server	2.2.2	-
运行在以下环境
应用	apache	http_server	2.2.20	-
运行在以下环境
应用	apache	http_server	2.2.21	-
运行在以下环境
应用	apache	http_server	2.2.22	-
运行在以下环境
应用	apache	http_server	2.2.23	-
运行在以下环境
应用	apache	http_server	2.2.24	-
运行在以下环境
应用	apache	http_server	2.2.25	-
运行在以下环境
应用	apache	http_server	2.2.3	-
运行在以下环境
应用	apache	http_server	2.2.4	-
运行在以下环境
应用	apache	http_server	2.2.6	-
运行在以下环境
应用	apache	http_server	2.2.8	-
运行在以下环境
应用	apache	http_server	2.2.9	-
运行在以下环境
应用	apache	http_server	2.3.0	-
运行在以下环境
应用	apache	http_server	2.3.1	-
运行在以下环境
应用	apache	http_server	2.3.10	-
运行在以下环境
应用	apache	http_server	2.3.11	-
运行在以下环境
应用	apache	http_server	2.3.12	-
运行在以下环境
应用	apache	http_server	2.3.13	-
运行在以下环境
应用	apache	http_server	2.3.14	-
运行在以下环境
应用	apache	http_server	2.3.15	-
运行在以下环境
应用	apache	http_server	2.3.16	-
运行在以下环境
应用	apache	http_server	2.3.2	-
运行在以下环境
应用	apache	http_server	2.3.3	-
运行在以下环境
应用	apache	http_server	2.3.4	-
运行在以下环境
应用	apache	http_server	2.3.5	-
运行在以下环境
应用	apache	http_server	2.3.6	-
运行在以下环境
应用	apache	http_server	2.3.7	-
运行在以下环境
应用	apache	http_server	2.3.8	-
运行在以下环境
应用	apache	http_server	2.3.9	-
运行在以下环境
应用	apache	http_server	2.4.0	-
运行在以下环境
应用	apache	http_server	2.4.1	-
运行在以下环境
应用	apache	http_server	2.4.2	-
运行在以下环境
应用	apache	http_server	2.4.3	-
运行在以下环境
应用	apache	http_server	2.4.4	-
运行在以下环境
应用	apache	http_server	2.4.6	-
运行在以下环境
系统	amazon_AMI	httpd	*		Up to (excluding) 2.4.9-1.54.amzn1
运行在以下环境
系统	centos_5	httpd	*		Up to (excluding) 2.2.3-85.el5.centos
运行在以下环境
系统	centos_6	httpd-devel	*		Up to (excluding) 2.2.15-30.el6.centos
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 2.4.9-1
运行在以下环境
系统	debian_10	apache2	*		Up to (excluding) 2.4.9-1
运行在以下环境
系统	debian_11	apache2	*		Up to (excluding) 2.4.9-1
运行在以下环境
系统	debian_12	apache2	*		Up to (excluding) 2.4.9-1
运行在以下环境
系统	debian_sid	apache2	*		Up to (excluding) 2.4.9-1
运行在以下环境
系统	opensuse_11.4	apache2-example-pages	*		Up to (excluding) 2.2.17-80.1
运行在以下环境
系统	oracle_5	oraclelinux-release	*		Up to (excluding) 2.2.3-85.0.1.el5_10
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 2.2.15-30.0.1.el6_5
运行在以下环境
系统	redhat_5	httpd	*		Up to (excluding) 0:2.2.3-85.el5_10
运行在以下环境
系统	redhat_6	httpd	*		Up to (excluding) 0:2.2.15-30.el6_5
运行在以下环境
系统	suse_12	apache2	*		Up to (excluding) 2.4.10-6
运行在以下环境
系统	ubuntu_12.04.5_lts	apache2	*		Up to (excluding) 2.2.22-1ubuntu1.5