GoAhead, 2 nouvelles failles dans le logiciel de serveur web

Les chercheurs en sécurité informatique ont découvert 2 nouvelles vulnérabilités dans GoAhead, un logiciel de serveur web intégré dans des centaines de millions d’appareils intelligents.

L’une des deux vulnérabilités, CVE-2019-5096, est une faille d’exécution de code qui peut être exploité par des pirates pour exécuter du code malveillant sur les appareils vulnérables et prendre le contrôle.

La première vulnérabilité réside dans la méthode de traitement des requêtes. Les versions de GoAhead affectées sont les versions 5.0.1, 4.1.1 et 3.6.5.

Selon les chercheurs de Cisco Talos, pendant le traitement d’une requête HTTP spéciale, un pirate exploitant la vulnérabilité peut provoquer une condition use-after-free sur le serveur et corrompre la structure de tas, ce qui mène à des attaques d’exécution de code.

GoAhead

La seconde vulnérabilité, CVE-2019-5097, réside dans le même composant que la première vulnérabilité et peut être exploité de la même façon, mais celle-ci mène à des attaques de déni de service.

“Une requête HTTP spéciale peut créer une boucle infinie dans le processus (causant 100% d’utilisation du CPU). La requête peut être non-authentifiée sous la forme de requêtes GET ou POST et ne nécessite pas que la ressource demandée existe sur le serveur.” ont expliqué les chercheurs.

Cependant, il est possible que ces 2 vulnérabilités ne soient pas exploitable dans tout les systèmes intégrés utilisant des versions vulnérables du serveur web GoAhead.

GoAhead est personnalisable, les compagnies implémentent l’application selon leur environnement et leurs besoins. C’est pour cette raison que les failles ne sont pas toujours exploitables.

“De plus, les pages nécessitant une authentification ne donnent pas accès à la vulnérabilité sans authentification car il faut s’identifier pour pouvoir atteindre le gestionnaire de téléversement,” ont expliqué les chercheurs.

GoAhead a réagit rapidement

Les chercheurs de Thalos ont signalé les deux vulnérabilités à EmbedThis, le développeur de l’application GoAhead Web Server, en Août 2019. Les développeurs ont adressé les problèmes et distribué des patchs de sécurité il y’a deux semaines.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x