Összefoglaló
Jelentettek két sérülékenységet a lighttpd-ben, amit rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás előidézésére.
Leírás
Jelentettek két sérülékenységet a lighttpd-ben, amit rosszindulatú támadók kihasználhatnak szolgáltatás megtagadás előidézésére.
- Van egy hiba a “rnrn” sorozat elemzésében, amit kihasználva végtelen ciklus hozható létre, ha a kapcsolatot megszakítják miközben a szerver a sorozatot vizsgálja. Ez a processzor túlterheléséhez, a rendszererőforrások elfogyásához vezethet.
- Van egy NULL mutató hivatkozás feloldási hiba a file-ok mtime (utolsó módosítás ideje) kezelésében. Ezt kihasználva összeomlást lehet előidézni egy 0 mtime-mal rendelkező file lekérésével.
A hiba kihasználásához szükséges, hogy a támadónak legyenek jogai 0 mtime-mal rendelkező file-ok lekéréséhez vagy feltöltéséhez, vagy meg tudja változtatni a file-ok utolsó módosítási idejét.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 24886
Gyártói referencia: www.lighttpd.net
CVE-2007-1869 - NVD CVE-2007-1869
CVE-2007-1870 - NVD CVE-2007-1870