欢迎来到安联智库--网络安全新媒体资讯平台!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

GoAhead Web服务器又现关键漏洞

 

近日,思科Talos专家在GoAhead嵌入式服务器上发现了两个漏洞,其中一个是关键的远程代码执行漏洞。



第一个漏洞为CVE-2019-5096与处理多部份/表单数据请求相关,该漏洞可被未经身份验证的攻击者触发、通过编写定制HTTP请求在服务器上执行任意代码;第二个名为CVE-2019-5097,其能够被未验证身份的攻击者利用、通过定制HTTP请求进行DDoS攻击。


这已经不是第一次在该服务器上发现漏洞了,2017年12月,Elttam专家就曾在该Web服务器上追踪到CVE-2017-17562漏洞,当时影响了成千上万的物联网设备。


GoAhead Web服务器是为嵌入式实时操作系统量身打造的Web服务器,其构建在设备管理框架之上,用户可以像标准的Web Services一样来部署自己的应用,无需额外编程。Shodan搜索引擎上查看GoAhead安装量已超过130万。


说了这么多,什么是Web服务器?Web服务器是是一种“网站服务器”,不仅能存储信息,还能再用户通过Web浏览器所提供信息的基础上运行脚本和程序。其主要功能是提供网上信息浏览服务,是目前使用最为广泛的服务。


其特点如下:该服务器是一种被动程序,只有当互联网上运行、其他计算机中浏览器发出了请求后,Web服务器才会响应;其还是在互联网上具有独立IP地址的高性能计算机,可以像互联网上的客户机提供万维网、电子邮件和FTP等各种互联网服务;指驻留在互联网上某种类型计算机的程序,当Web浏览器连到Web服务器上并请求文件时,Web服务器会处理该请求,并将文件发送到Web浏览器上,附带的信息会告诉浏览器如何查看该文件。由于Web服务器,使用超文本传输协议(HTTP)与客户机浏览器进行信息交流,人们常称其为HTTP服务器;其不仅能存储信息,还能通过Web浏览器向用户提供信息的基础上运行脚本和程序。


Web服务器的工作原理不复杂:连接、请求、应答和关闭四个过程就能将其概括。


什么是嵌入式实时操作系统?其是用于控制、监视或辅助操作机器和设备的装置。在工业控制、军事设备、航空航天等领域对系统响应时间有苛刻要求的领域需要使用这种实时系统。随着计算机技术的迅猛发展和芯片制造工艺的不断进步,这些嵌入式系统广泛应用于民用的电视、手机等电路设备、军用飞机、坦克武装系统等等。



再来看看这种Web服务器的主要分布国家:哈萨克斯坦323,870台、美国186,532台、韩国173,528台、巴西153825台、秘鲁54,705等。中国呢?目前看到使用该服务器的机构有腾讯云计算、北京联通等。


这样一看,潜在的危害还挺严重。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: