Összefoglaló
A lighttpd naplóállományai egy biztonsági résen keresztül válhatnak manipulálhatóvá.
Leírás
A sérülékenységet a http_auth.c állomány tartalmazza, és a kihasználásával a támadók távolról különféle bejegyzéseket szúrhatnak be az alkalmazás által kezelt naplóállományokba.
A biztonsági hiba egyes bemeneti paraméterek nem megfelelő ellenőrzésére vezethető vissza.
Megoldás
A fejlesztők által kiadott hibajavítások telepítése.
Támadás típusa
Manipulation of dataSecurity bypass (Biztonsági szabályok megkerülése)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: jaanuskp.blogspot.hu
Egyéb referencia: redmine.lighttpd.net
CVE-2015-3200 - NVD CVE-2015-3200