BugTraq.Ru
 Русский BugTraq
http://www.bugtraq.ru/rsn/archive/2003/09/53.html

Apache 2.0: не слишком опасный DoS из-за ошибки в mod_cgi
dl // 29.09.03 21:21
Вывод более чем 4к символов на STDERR приводит к зависанию самого скрипта, а заодно и к возможному зависанию всего сервера.
[Не забывайте при копировании материала указывать полный адрес источника: http://www.bugtraq.ru/rsn/archive/2003/09/53.html]
Использовать эту ошибку, правда, не слишком легко - надо иметь как минимум возможность запускать на сервере свои скрипты.

Источник: SecurityTracker    
теги: dos  |  предложить новость  |  обсудить  |  все отзывы (2) [3848]
назад «  » вперед

аналогичные материалы
DoS на SSL // 26.10.11 17:15
Создатели Apache срочно бросились исправлять ошибку четырехлетней давности // 25.08.11 00:06
Февральские обновления от MS // 09.02.10 23:34
Microsoft подтвердила наличие 17-летней уязвимости во всех 32-битных системах // 21.01.10 19:29
Декабрьские обновления от MS // 09.12.09 00:13
Удаленное замораживание Window 7 и Server 2008 R2 // 12.11.09 16:55
Ноябрьские обновления от MS // 10.11.09 21:36
  
последние новости
Очередное исследование 19 миллиардов паролей показало, что с ними по-прежнему все плохо // 02.05.25 20:42
Оптимизация ввода-вывода как инструмент обхода антивирусов // 30.04.25 23:29
Зловреды выбирают Lisp и Delphi // 30.03.25 23:26
Уязвимости в Mongoose ставят под удар MongoDB // 20.02.25 18:23
По роутерам Juniper расползается бэкдор, активирующийся "волшебным пакетом" // 27.01.25 17:33
С наступающим // 31.12.24 23:59
Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09

Комментарии:

Как сказать 29.09.03 21:40  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> Вывод более чем 4к символов на STDERR приводит к зависанию
> самого скрипта, а заодно и к возможному зависанию всего
> сервера. Использовать эту ошибку, правда, не слишком легко
> - надо иметь как минимум возможность запускать на сервере
> свои скрипты.
Не обязательно. Можно попытаться спровоцировать скрипт, работающий на сервере, вывести длинную строку в stderr. Не думаю, что любой скрипт проверяет, а не придется ли ему при ошибке вывести диагностических данных больше чем на 4к :)
Как сказать 29.09.03 22:50  
Автор: dl <Dmitry Leonov>
<"чистая" ссылка>
> Не обязательно. Можно попытаться спровоцировать скрипт,
> работающий на сервере, вывести длинную строку в stderr. Не
> думаю, что любой скрипт проверяет, а не придется ли ему при
> ошибке вывести диагностических данных больше чем на 4к :)

Теоретически да. На практике большинство скриптов в основном выводит что-то на stderr непосредственно перед тем как аварийно завершиться, сказав что-нибудь коротенько в die. Хотя, конечно, возможны варианты.
<добавить комментарий>





  Copyright © 2001-2025 Dmitry Leonov Design: Vadim Derkach