近日,国家信息安全漏洞库(CNNVD)收到关于GoAhead远程代码执行漏洞(CNNVD-201912-058、CVE-2019-5096)和GoAhead拒绝服务漏洞(CNNVD-201912-050、CVE-2019-5097)情况的报送。成功利用漏洞的攻击者可对目标设备远程执行代码,或者造成设备拒绝服务。GoAhead Web Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。目前,GoAhead官方已经发布新版本修复了上述漏洞,请用户请尽快升级到最新版本进行防护。

一、漏洞介绍

GoAhead WebServer是一个开源的嵌入式Web 服务器,在物联网领域应用较为广泛,它被IBM、HP、Oracle、波音、D-Link和摩托罗拉使用。通过网络搜索,可发现超过70万的设备使用了GoAhead。

GoAhead远程代码执行漏洞(CNNVD-201912-058、CVE-2019-5096):GoAhead Web Server 在处理 multipart/form-data 类型的 HTTP 请求时会触发远程代码执行漏洞,未经身份验证的攻击者所发送的恶意HTTP请求可能触发Use-After-Free,破坏堆结构,导致任意命令执行。攻击者可以在未授权的情况下以 GET 或 POST 的形式发送数据包,并且所请求的资源不需要真实存在于目标服务器上。

GoAhead拒绝服务漏洞(CNNVD-201912-050、CVE-2019-5097):GoAhead Web Server在处理multi-part/form-data类型的HTTP请求时存在一个拒绝服务漏洞。未经身份验证的攻击者可通过发送一个恶意HTTP请求导致服务器处理流程进入死循环。攻击者可以在未授权的情况下以 GET 或 POST 的形式发送数据包,并且所请求的资源不需要真实存在于目标服务器上。

二、危害影响

GoAhead远程代码执行漏洞(CNNVD-201912-058、CVE-2019-5096):成功利用漏洞的攻击者可远程执行代码,查看设备的网络状况和文件结构,进而获取设备中存储的文件,甚至完全控制远程设备。GoAhead Web Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。

GoAhead拒绝服务漏洞(CNNVD-201912-050、CVE-2019-5097):成功利用漏洞的攻击者,可以造成设备拒绝服务。GoAheadWeb Server v5.0.1、v4.1.1、v3.6.5等版本均受漏洞影响。

三、修复建议

目前,GoAhead官方已经发布新版本修复了漏洞,请用户请尽快升级到最新版本进行防护。更新链接如下:

https://www.embedthis.com/goahead/download.html

本通报由CNNVD技术支撑单位——深信服科技股份有限公司、北京长亭科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式:cnnvd@itsec.gov.cn

声明:本文来自CNNVD安全动态,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。