GoAheadWeb服务器曝安全漏洞，上万台物联网设备受影响

LYA 看雪学院 2021-03-08

有些产品是以其高难度的技术手段吸引用户。

而有些产品则独辟蹊径。

主打最简单的代码，以便捷性和快速度取胜。

GoAhead是什么？

GoAhead Web服务器是世界上最受欢迎的物联网微型嵌入式Web服务器，应用于数亿个物联网智能设备中。

GoAhead主要特点是开源、轻巧、功能强大，代码简洁明了，可移植性强，能够在Linux、VxWorks和Windows等多个平台使用，它可以运行在打印机、路由器、交换机、IP电话等联网设备上，深受各大硬件厂商的欢迎。

在其产品主页上，可以看到目前GoAhead的被许多大型企业部署在产品中，例如甲骨文（Oracle）、惠普（HP）、西门子（Siemens）、佳能（Canon ）、IBM、摩托罗拉（Motorola）等等。

然而近期，研究人员发现GoAhead Web服务器存在两个新型漏洞。

漏洞详情

关于这两个漏洞的详细信息，如下所示：

CVE-2019-5096

该漏洞属于关键代码执行漏洞，CVSS评分为9.8，攻击者可利用此漏洞在易受攻击的设备上执行恶意代码并控制该设备，影响的GoAhead Web Server版本有v5.0.1，v.4.1.1和v3.6.5。

在设备处理特制HTTP请求时，攻击者可利用该漏洞使服务器上的堆结构破坏，从而导致代码执行攻击。

CVE-2019-5097

该漏洞位于GoAhead Web服务器的组件中，可导致拒绝服务攻击。攻击者可同样发送HTTP请求，以GET或POST请求的形式在不需要身份验证的情况下消耗服务器资源，导致进程中的无限循环，最终造成100%的CPU利用率。

研究人员在今年8月下旬向GoAhead Web服务器的开发人员报告了这两个漏洞，供应商已于两周前解决了这些问题并发布了安全补丁，如果你有使用GoAhead Web服务器，请尽快下载最新补丁。

* 本文由看雪编辑 LYA 编译自 The Hacker News，转载请注明来源及作者。

* 原文链接：

https://thehackernews.com/2019/12/goahead-web-server-hacking.html