PT-2015-15: Разглашение информации в LiteSpeed Web Server
Уязвимое ПО
LiteSpeed Web Server
Версия: 4.2.23 и более ранняя
Ссылки:
http://www.litespeedtech.com/
Рейтинг опасности
Уровень опасности: Средний
Воздействие: Разглашение информации
Вектор атаки: Удаленный
CVSS v2:
Base Score: 4.3
Vector: (AV:N/AC:M/Au:N/C:P/I:N/A:N)
CVE: отсутствует
Описание программы
LiteSpeed Web Server – сервер веб-приложений.
Описание уязвимости
Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Разглашение информации" в LiteSpeed Web Server
Уязвимость позволяет получить содержимое случайных участков памяти сервера веб-приложений LiteSpeed. В результате эксплуатации становится возможным прочитать случайные части HTTP-запросов к серверу, произведенных ранее. Это может привести к раскрытию важных данных, информации о конфигурации сервера, перехвату сессии авторизованного пользователя и т.д.
Решение
Установите последнюю версию приложения
Статус уведомления
20.03.2015 - Производителю отправлены детали уязвимости
17.04.2015 - Производитель выпустил исправление
17.11.2015 - Публикация уязвимости
Благодарности
Уязвимость обнаружил Семен Рожков (Исследовательский центр Positive Research компании Positive Technologies)
Ссылки
http://www.securitylab.ru/lab/PT-2015-15
Список отчетов о ранее обнаруженных уязвимостях Positive Research:
http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/