Összefoglaló
A lighttpd egy olyan sérülékenységét jelentették, melyet a sérült rendszer feltörésére használhattak fel rosszindulatú támadók.
Leírás
A lighttpd egy olyan sérülékenységét jelentették, melyet a sérült rendszer feltörésére használhattak fel rosszindulatú támadók.
A sérülékenységet a mod_fastcgi bővítmény hibája okozza, ami a HTTP kérések kezelésekor lép fel.
Ezt lehet felhasználni PHP fejlécek (pl. SCRIPT_FILENAME) hozzáadására vagy felülírására olyan HTTP kérésekkel, melyek túl hosszú fejléceket tartalmaznak .
A sikeres kiaknázás tetszőleges PHP kód futtatását teszi lehetővé.
A sérülékenység a 1.4.18 verziónál korábbiakat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: secweb.se
Gyártói referencia: www.lighttpd.net
SECUNIA 26732
CVE-2007-4727 - NVD CVE-2007-4727