0x00 漏洞概述
|
CVE ID |
CVE-2022-24070 |
发现时间 |
2022-04-12 |
|
类 型 |
UAF |
等 级 |
高危 |
|
远程利用 |
是 |
影响范围 |
|
|
攻击复杂度 |
低 |
用户交互 |
无 |
|
PoC/EXP |
在野利用 |
0x01 漏洞详情
Apache Subversion(SVN)是一个开源的集中式版本控制系统。
4月12日,Apache发布安全公告,修复了Apache Subversion中的一个Use-After-Free漏洞(CVE-2022-24070),其CVSS评分为7.5。
Subversion 的 mod_dav_svn 在查找基于路径的授权规则时容易出现Use-After-Free问题,可能导致处理请求的 HTTPD 工作进程崩溃,从而导致拒绝服务。
影响范围
Apache Subversion httpd servers 1.10.0-1.10.7
Apache Subversion httpd servers 1.14.0-1.14.1
注:不使用mod_dav_svn的服务器不受此漏洞影响。
0x02 安全建议
目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:
Subversion httpd servers 1.14.2
Subversion httpd servers 1.10.8
下载链接:
https://subversion.apache.org/download.cgi
补丁下载链接:
https://subversion.apache.org/security/CVE-2022-24070-advisory.txt
0x03 参考链接
https://subversion.apache.org/security/CVE-2022-24070-advisory.txt
https://issues.apache.org/jira/browse/SVN-4880
https://nvd.nist.gov/vuln/detail/CVE-2022-24070
0x04 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-04-19 |
首次发布 |
0x05 附录
原文始发于微信公众号(维他命安全):【漏洞通告】Apache Subversion Use-After-Free漏洞(CVE-2022-24070)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论