Программа:
Squid 2.5.STABLE7 и более ранние версии
Sun Java System Web Proxy Server 3.6 SP4
SunONE Web Server 6.1 SP4
DeleGate 8.9.2
Microsoft Internet Information Server 5.0, 6.0
Apache Tomcat 4.1.24, 5.0.19
BEA WebLogic Server 8.1 SP1
IBM WebSphere 5.0, 5.1
Oracle Application Server Web Cache 9.0.2
Oracle Application Server 9.0.2

Уязвимость позволяет удаленному
пользователю произвести HTTP Request Smuggling атаку
(атаку со скрытым HTTP запросом), и отравить
кеш прокси сервера. Удаленный пользователь
может послать специально сформированный HTTP
запрос, содержащий два поля заголовка
Content-Length, что заставит уязвимый сервер и
следующий за ним HTTP агент (Web сервер или еще
один прокси сервер) обработать этот запрос
по-разному. Злоумышленник может внедрить
злонамеренный запрос в обычный и
потенциально отравить кеш прокси сервера.
Злоумышленник может так же создать
специальный HTTP запрос, содержащий большое
количество пробелов и дополнительный взвод
каретки в именах HTTP заголовков для удачной
эксплуатации этой уязвимости.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии