Update fĂĽr Webserver Lighttpd beseitigt DoS-Schwachstellen
Der schlanke Mini-Webserver Lighttpd weist zwei Schwachstellen auf, die einen stabilen Betrieb gefährden können. Ein Angreifer kann dies für Denial-of-Service-Angriffe ausnutzen.
Der schlanke Mini-Webserver Lighttpd weist zwei Schwachstellen auf, die einen stabilen Betrieb gefährden können. Ein Angreifer kann dies für Denial-of-Service-Angriffe ausnutzen. So kann es beim Parsen der Zeichenfolge "\r\n\r\n" zu einer Vollauslastung oder einem Absturz des Systems kommen, wenn mittendrin die Client-Verbindung unterbrochen wird. Der Fehler findet sich nur in den Versionen 1.4.12 und 1.4.13.
Des Weiteren tritt bei der Verarbeitung von Dateien mit fehlerhaft gesetzten Zeitstempeln (mtime=0) eine Null-Pointer-Dereference auf, die ebenfalls zum Absturz führt. Für einen erfolgreichen Angriff muss allerdings eine präparierte Datei auf den Server geladen werden. Betroffen sind die Versionen 1.3.x und 1.4.x; ab 1.4.14 sind beide Fehler behoben, aktuell ist bereits 1.4.15 verfügbar. Lighttpd kommt wegen seiner geringen Ansprüche auch auf vielen embedded Systemen zum Einsatz.
Siehe dazu auch:
- Remote DOS in CRLF parsing, Fehlerbericht auf lighttpd.net
- DOS with files with mtime 0, Fehlerbericht auf lighttpd.net
(dab)
