PT-2015-15: Разглашение информации в LiteSpeed Web Server

Уязвимое ПО

LiteSpeed Web Server
Версия: 4.2.23 и более ранняя

Ссылки:
http://www.litespeedtech.com/

Рейтинг опасности

Уровень опасности: Средний
Воздействие: Разглашение информации
Вектор атаки: Удаленный

CVSS v2:
Base Score: 4.3
Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)

CVE: отсутствует

Описание программы

LiteSpeed Web Server – сервер веб-приложений.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разглашение информации" в LiteSpeed Web Server

Уязвимость позволяет получить содержимое случайных участков памяти сервера веб-приложений LiteSpeed. В результате эксплуатации становится возможным прочитать случайные части HTTP-запросов к серверу, произведенных ранее. Это может привести к раскрытию важных данных, информации о конфигурации сервера, перехвату сессии авторизованного пользователя и т.д.

Решение

Установите последнюю версию приложения

Статус уведомления

20.03.2015 - Производителю отправлены детали уязвимости
17.04.2015 - Производитель выпустил исправление
17.11.2015 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Семен Рожков (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2015-15

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/