Összefoglaló
A lighttpd sérülékenységgeit jelentették, melyet kihasználva támadók érzékeny információkhoz juthatnak, megkerülhetnek bizonyos biztonsági korlátozásokat és szolgáltatás megtagadást (DoS) okozhatnak.
Leírás
A lighttpd sérülékenységgeit jelentették, melyet kihasználva támadók érzékeny információkhoz juthatnak, megkerülhetnek bizonyos biztonsági korlátozásokat és szolgáltatás megtagadást (DoS) okozhatnak.
- A sérülékenységet a “http_request_parse()” függvény egy memória szivárgása okozza a több azonos kérés fejléc feldolgozásakor. Ezt kihasználva fölhasználható az összes memória.
- Egy sebezhetőség oka, hogy a “mod_userdir” modul nem jól kezeli a fájlneveket olyan fájlrendszerek esetén, amelyek nem kezelik külön a kis- és nagybetűket. Ezt kihasználva pl. bizalmas információk szerezhetők meg, kis- és nagybetűket is tartalmazó kérésekkel.
-
A weakness is caused due to lighttpd not decoding requests before matching them with rewrite and redirect rules. This can be exploited to e.g. bypass the rewrite and redirect rules.
A sebezhetőség oka, hogy a lighttpd nem dekódolja a kéréseket, mielőtt a összevetné azokat az újraírási és átirányítási szabályokkal. Ezt kihasználva meg lehet kerülni ezeket a szabályokat.
A sérülékenységek az 1.4.20. előtti verziókat érintik.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.lighttpd.net
Gyártói referencia: www.lighttpd.net
CVE-2008-4359 - NVD CVE-2008-4359
CVE-2008-4298 - NVD CVE-2008-4298
SECUNIA 32069
Egyéb referencia: securityreason.com
CVE-2008-4360 - NVD CVE-2008-4360
Gyártói referencia: www.lighttpd.net