安全公告/【CVE-2023-27371】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:libmicrohttpd
CVSS评分:5.9
发现日期:2024-09-19
修复日期:2024-10-08
修复版本:libmicrohttpd-0.9.59-8

漏洞描述

由于 postprocessor.c MHD_create_post_processor() 方法中对多部分/表单数据边界的解析不正确,0.9.76 之前的 GNU libmicrohttpd 允许远程 DoS(拒绝服务)。这允许攻击者远程发送恶意 HTTP POST 数据包,该数据包在多部分/表单数据边界字段中包含一个或多个“\0”字节,假设特定的堆布局,这将导致越界读取和 find_boundary() 函数崩溃。

漏洞判定

执行命令yum info PackageName获取软件包版本号,版本小于修复版本,则受此漏洞影响,版本大于等于修复版本,则此漏洞已修复

修复方式

软件包升级
dnf update libmicrohttpd

补丁

参考

https://github.com/0xhebi/CVEs/tree/main/GNU%20Libmicrohttpd;https://git.gnunet.org/libmicrohttpd.git/commit/?id=6d6846e20bfdf4b3eb1b592c97520a532f724238;https://lists.gnu.org/archive/html/libmicrohttpd/2023-02/msg00000.html;https://lists.debian.org/debian-lts-announce/2023/03/msg00029.html