GoAhead Web服务器中的严重漏洞可能影响多数的物联网设备

2019年12月2日,Cisco Talos公开发布了GoAhead Web服务器的一个远程代码执行漏洞和一个拒绝服务漏洞的报告。GoAhead是一个开源、简单、轻巧、功能强大的嵌入式Web Server,它是一个广泛嵌入在数亿个与互联网连接的智能设备中的微型应用程序,是为嵌入式实时操作系统(RTOS)量身定制的Web服务器,可以在多个平台运行。

漏洞描述:

远程代码执行漏洞:部分版本的GoAhead Web Server 在处理 multipart/form-data 类型的请求时存在一个远程代码执行漏洞,攻击者可构造恶意的HTTP请求触发use-after-free,破坏可能导致完整代码执行的堆结构,该请求可在未经身份验证的情况下以GET或POST的方式发送,并且不需要所请求的资源在目标服务器上。

拒绝服务漏洞:部分版本的GoAhead Web Server 在处理 multipart/form-data 类型的请求时存在一个拒绝服务漏洞,攻击者构造恶意的HTTP请求可能导致服务器进程陷入无限循环,该请求可在未经身份验证的情况下以GET或POST的方式发送,并且不需要所请求的资源在目标服务器上。

主要受影响版本:

GoAhead Web Server 5.0.1

GoAhead Web Server 4.1.1

GoAhead Web Server 3.6.5

漏洞防护:

官方已更新最新版本修复漏洞,可去官网下载最新版本进行防护。

有关内容来源于:http://blog.nsfocus.net/two-high-risk-vulnerabilities-in-goahead-web-server/