DoS-Schwachstelle in Webserver lighttpd

Ein Fehler in den aktuellen Versionen des schlanken Open-Source-Webservers lighttpd lässt sich ausnutzen, um diesen aus der Ferne zum Absturz zu bringen. Die Schwachstelle beruht auf einem Berechnungsfehler beim Anlegen des globalen "File Descriptor"-Arrays, was zu einem Speicherfehler und dem Absturz des Servers führt. Berichten zufolge soll der Fehler aber nur unter sehr hoher Last auftreten. Allerdings wird lighttpd oft genau in solchen Anwendungsbereichen eingesetzt.

Der Fehler wurde in der stabilen Version 1.4.18 und der Entwicklerversion 1.5 bestätigt. Vorhergehende Versionen sind ebenfalls betroffen, aber nur bis Version 1.4.8, da sich das Problem den Einträgen in der Fehlerdatenbank zufolge erst dort eingeschlichen haben soll. Im Subversion-Repository ist der Fehler bereits beseitigt, zudem stehen Quellcode-Patches zum Download bereit. Ein offizielles Update gibt es aber noch nicht.

Lighttpd, auch lighty genannt, ist ein ressourcenschonender, schneller Webserver, der sich wie der Apache durch Module erweitern lässt. Lighttpd unterstützt durch CGI beziehungsweise FastCGI beliebige Skriptsprachen und eignet sich aufgrund der geringen CPU- und Speicherbelastung auch gut für Embedded-Systeme. Unter anderem setzen YouTube, SourceForge und Wikipedia auf teilweise selbst angepasste Versionen von lighty.

Siehe dazu auch:

• sigsegv @ fdevent_get_handler - when congestion occurs, and file descriptor arrays is full, Eintrag in Fehlerdatenbank von lighttpd

(dab)