Недостаток был обнаружен в libsoup, библиотеке HTTP-клиента/сервера. Эта уязвимость для контрабанды HTTP-запроса возникает из-за несовмести…
Недостаток был обнаружен в libsoup, библиотеке HTTP-клиента/сервера. Эта уязвимость для контрабанды HTTP-запроса возникает из-за несовместимого с РКК анализом в логике soup_filter_input_stream_line_line(), где libsoup принимает деформированные заголовки, такие как символы подачи одиночных линий (LF) вместо требуемого возврата и линейной подачи (CRLF). Удаленный злоумышленник может использовать это без аутентификации или взаимодействия с пользователем, отправляя специально созданные запросы. Это позволяет libsoup анализировать и обрабатывать несколько HTTP-запросов из одного сетевого сообщения, что может привести к раскрытию информации.
Продукт выступает в роли промежуточного HTTP-агента (например, прокси-сервера или межсетевого экрана) в потоке данных между двумя объектами — клиентом и сервером, — однако интерпретирует некорректно сформированные HTTP-запросы или ответы иначе, чем конечные получатели этих сообщений.
https://cwe.mitre.org/data/definitions/444.html →Открыть в коллекции CWE →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/33.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/273.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| libsoup2.4 | Отслеживается | |
| libsoup2.4 | Отслеживается | |
| libsoup2.4 | Отслеживается | |
| libsoup3 | Отслеживается | |
| libsoup3 | Отслеживается | |
| libsoup3 | Отслеживается | |
| enterprise_linux | * | Отслеживается |
| libsoup | * | Отслеживается |