查看原文
其他

GoAheadWeb服务器曝安全漏洞,上万台物联网设备受影响

LYA 看雪学院 2021-03-08

有些产品是以其高难度的技术手段吸引用户。


而有些产品则独辟蹊径。


主打最简单的代码,以便捷性和快速度取胜。



GoAhead是什么?



GoAhead Web服务器是世界上最受欢迎的物联网微型嵌入式Web服务器,应用于数亿个物联网智能设备中。


GoAhead主要特点是开源、轻巧、功能强大,代码简洁明了,可移植性强,能够在Linux、VxWorks和Windows等多个平台使用,它可以运行在打印机、路由器、交换机、IP电话等联网设备上,深受各大硬件厂商的欢迎。


在其产品主页上,可以看到目前GoAhead的被许多大型企业部署在产品中,例如甲骨文(Oracle)、惠普(HP)、西门子(Siemens)、佳能(Canon )、IBM、摩托罗拉(Motorola)等等。



然而近期,研究人员发现GoAhead Web服务器存在两个新型漏洞。


漏洞详情



关于这两个漏洞的详细信息,如下所示:

CVE-2019-5096

该漏洞属于关键代码执行漏洞,CVSS评分为9.8,攻击者可利用此漏洞在易受攻击的设备上执行恶意代码并控制该设备,影响的GoAhead Web Server版本有v5.0.1,v.4.1.1和v3.6.5。

在设备处理特制HTTP请求时,攻击者可利用该漏洞使服务器上的堆结构破坏,从而导致代码执行攻击。

CVE-2019-5097

该漏洞位于GoAhead Web服务器的组件中,可导致拒绝服务攻击。攻击者可同样发送HTTP请求,以GET或POST请求的形式在不需要身份验证的情况下消耗服务器资源,导致进程中的无限循环,最终造成100%的CPU利用率。


研究人员在今年8月下旬向GoAhead Web服务器的开发人员报告了这两个漏洞,供应商已于两周前解决了这些问题并发布了安全补丁,如果你有使用GoAhead Web服务器,请尽快下载最新补丁。



* 本文由看雪编辑 LYA 编译自 The Hacker News,转载请注明来源及作者。

* 原文链接:

https://thehackernews.com/2019/12/goahead-web-server-hacking.html



推荐文章++++

有Steam账号的玩家们注意了,小心皮肤陷阱!

全球Top 1000互联网零售商Magento网站被黑,用户信息泄露

* HPE固态硬盘成定时炸弹?部分型号设备将在通电32768小时后完全损坏

* 手机里的伪装者:利用最新Android漏洞StrandHogg可冒充合法软件

Kali Linux“卧底模式”来了,让你的界面秒变Windows 10








公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com



“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存