Privoxy < 3.0.23 の複数の DoS の脆弱性
medium Nessus プラグイン ID 81516
Language:
概要
リモートの Web プロキシは、複数のサービス拒否脆弱性の影響を受けます。説明
自己報告されたバージョン番号によると、リモートホストで実行されている Privoxy のバージョンは、3.0.23 より前のものです。このため、複数のサービス拒否脆弱性の影響を受ける可能性があります:- 無効なチャンクエンコードされた本文の処理が不適切なために、「jcc.c」の chunked_body_is_complete() 関数に欠陥が存在します。リモートの攻撃者は、特別に細工されたクライアントリクエストを使用してPrivoxyインスタンスを終了させることができます。(CVE-2015-1380)
- 複数の欠陥が後方参照を処理するときの「pcrs.c」の pcrs_compile_replacement() 関数に存在しています。
リモートの攻撃者がこれらの欠陥を悪用して、セグメンテーション違反またはメモリ消費を引き起こす可能性があります。
(CVE-2015-1381)
- 「parsers.c」の無効な読み取りの欠陥により、リモートの攻撃者が特別に細工された time ヘッダーがある HTTP リクエストを介して、サービス拒否状態を引き起こすことができます。
(CVE-2015-1382)
Nessusはこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
Privoxy をバージョン 3.0.23 以降にアップグレードしてください。参考資料
https://sourceforge.net/p/ijbswa/mailman/message/33089172/
http://www.nessus.org/u?02038803
プラグインの詳細
深刻度: Medium
ID: 81516
ファイル名: privoxy_3_0_23.nasl
バージョン: 1.4
タイプ: remote
ファミリー: Firewalls
公開日: 2015/2/25
更新日: 2018/11/15
設定: パラノイドモードの有効化
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: cpe:/a:privoxy:privoxy
必要な KB アイテム: Settings/ParanoidReport, www/Privoxy
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/1/26
脆弱性公開日: 2015/1/26