Updates per Lighttpd: fixate vulnerabilità DoS
Massimo Rabbi | 18 April 2007 | 10:58Sono stati rilasciati di recente gli aggiornamenti per il mini-webserver Lighttpd, il software che si sta da tempo facendo largo nel mercato web server tra mostri sacri come Apache e IIS.
Secondo quanto riportato un attaccante può sfruttare i bug per causare un attacco di tipo DoS.
Il parsing della stringa “\r\n\r\n” può sovraccaricare il sistema o causarne il crash se la connessione del client viene interrotta durante la fase di parsing. Il bug interessa le versioni 1.4.12 e 1.4.13 solamente.
In più il processing di file con un timestamp sbagliato (mtime=0) porta alla dereferenziazione di un NULL pointer, che manda in crash l’applicazione.
Tuttavia per portare a termine questo tipo di attacco è necessario riuscire a caricare un file appositamente preparato sul server in questione.
Le versione affette in questo caso sono le 1.3.x e 1.4.x.
Entrambi i bug sono stati fixati nelle versioni 1.4.14 e successive.
La versione corrente è la 1.4.15.
REPORT DEI BUG:
* Remote DOS in CRLF parsing
* DOS with files with mtime 0
