Lücke in Web-Server Cherokee

Die Linux-Distribution Gentoo hat die Pakete für den Mini-Webserver Cherokee aktualisiert, da Versionen vor 0.4.17.1 eine Format-String-Schwachstelle in der Funktion cherokee_logger_ncsa_write_string() enthalten. Damit ist es mit bestimmten URLs in Verbindungen mit der Authentifizierung via auth_pam möglich, den Server zum Absturz zu bringen oder Code einzuschleusen und im Kontext des Servers zu starten. Die fehlerfreie Version steht auch im Quellcode auf der Cherokee-Homepage zum Download bereit.

Siehe dazu auch: (dab)

• Security Advisory von Gentoo