Palo Alto PAN-OS 5.0.x/5.1.12/6.0.x/6.1.x Web Interface NULL Pointer Dereference 拒绝服务漏洞

CVE编号

CVE-2014-9708

利用情况

暂无

补丁情况

N/A

披露时间

2015-04-01
漏洞描述
Embedthis Software AppWeb是美国Embedthis Software公司的一款快速小型的Web服务器,它主要用于嵌入式应用、设备和Web服务,并支持安全防御策略、摘要式身份验证、虚拟主机等。

Embedthis Software Appweb 4.6.6之前版本和5.2.1之前5.x版本中存在安全漏洞。远程攻击者可借助带有空值的Range头利用该漏洞造成拒绝服务(空指针逆向引用)。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://embedthis.com/appweb/download.html
参考链接
http://packetstormsecurity.com/files/131157/Appweb-Web-Server-Denial-Of-Service.html
http://seclists.org/fulldisclosure/2015/Apr/19
http://seclists.org/fulldisclosure/2015/Mar/158
http://www.openwall.com/lists/oss-security/2015/03/28/2
http://www.openwall.com/lists/oss-security/2015/04/06/2
http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html
http://www.securityfocus.com/archive/1/535028/100/0/threaded
http://www.securityfocus.com/archive/1/archive/1/535028/100/1400/threaded
http://www.securityfocus.com/bid/73407
http://www.securitytracker.com/id/1037007
https://github.com/embedthis/appweb/commit/7e6a925f5e86a19a7934a94bbd6959101d...
https://github.com/embedthis/appweb/issues/413
https://security.paloaltonetworks.com/CVE-2014-9708
https://supportportal.juniper.net/s/article/2021-07-Security-Bulletin-Junos-O...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 embedthis appweb * Up to
(including)
4.6.5
运行在以下环境
应用 embedthis appweb 5.0.0 -
运行在以下环境
应用 embedthis appweb 5.1.0 -
运行在以下环境
应用 embedthis appweb 5.2.0 -
运行在以下环境
应用 oracle enterprise_communications_broker * Up to
(including)
2.0.0
CVSS3评分
5.0
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    N/A
  • 用户交互
  • 可用性
    部分地
  • 保密性
  • 完整性
AV:N/AC:L/Au:N/C:N/I:N/A:P
CWE-ID 漏洞类型
CWE-476 空指针解引用
NVD-CWE-Other
阿里云安全产品覆盖情况