安全公告/【CVE-2023-27371】
基本信息
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:libmicrohttpd
CVSS评分:5.9
发现日期:2024-09-19
修复日期:2024-10-08
修复版本:libmicrohttpd-0.9.59-8
漏洞描述
由于 postprocessor.c MHD_create_post_processor() 方法中对多部分/表单数据边界的解析不正确,0.9.76 之前的 GNU libmicrohttpd 允许远程 DoS(拒绝服务)。这允许攻击者远程发送恶意 HTTP POST 数据包,该数据包在多部分/表单数据边界字段中包含一个或多个“\0”字节,假设特定的堆布局,这将导致越界读取和 find_boundary() 函数崩溃。
漏洞判定
执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复
修复方式
软件包升级 dnf update libmicrohttpd
参考
https://github.com/0xhebi/CVEs/tree/main/GNU%20Libmicrohttpd;https://git.gnunet.org/libmicrohttpd.git/commit/?id=6d6846e20bfdf4b3eb1b592c97520a532f724238;https://lists.gnu.org/archive/html/libmicrohttpd/2023-02/msg00000.html;https://lists.debian.org/debian-lts-announce/2023/03/msg00029.html