Lighttpd多个远程拒绝服务漏洞

漏洞信息详情

Lighttpd多个远程拒绝服务漏洞

• CNNVD编号：CNNVD-200704-292
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-1869
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2007-04-17
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-04-18
  
• 厂        商：
  
  lighttpd
• 漏洞来源：
  Marcus RueckertRob…

lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器，它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。

Lighttpd如果在解析＼r＼n＼r＼n期间连接中断的话，服务器就会陷入死循环，使用100\\%的CPU时间。攻击者可以反复利用这个漏洞，直至到达服务器的并行连接极限或到达文件描述符限制。

Lighttpd为mtime缓存所生成的字符串，缓存密钥默认值为0。这时字符串的指针仍为空，如果请求了mtime为0的文件就会试图访问空指针导致崩溃。利用这个漏洞要求恶意用户能够上传文件或操控文件的mtime。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.lighttpd.net/assets/2007/4/13/lighttpd-1.4.x_crlf_parsing_dos.patch

http://www.lighttpd.net/assets/2007/4/13/lighttpd-1.4.x_zero_mtime_crash.patch

来源: www.lighttpd.net

链接:http://www.lighttpd.net/assets/2007/4/13/lighttpd_sa2007_01.txt

来源: BUGTRAQ

名称: 20070420 FLEA-2007-0011-1: lighttpd

链接:http://www.securityfocus.com/archive/1/archive/1/466464/30/6900/threaded

来源: VUPEN

名称: ADV-2007-1399

链接:http://www.frsirt.com/english/advisories/2007/1399

来源: SECUNIA

名称: 24886

链接:http://secunia.com/advisories/24886

来源: issues.rpath.com

链接:https://issues.rpath.com/browse/RPL-1218

来源: XF

名称: lighttpd-rnrn-dos(33671)

链接:http://xforce.iss.net/xforce/xfdb/33671

来源: BID

名称: 23515

链接:http://www.securityfocus.com/bid/23515

来源: SUSE

名称: SUSE-SR:2007:007

链接:http://www.novell.com/linux/security/advisories/2007_007_suse.html

来源: DEBIAN

名称: DSA-1303

链接:http://www.debian.org/security/2007/dsa-1303

来源: GENTOO

名称: GLSA-200705-07

链接:http://security.gentoo.org/glsa/glsa-200705-07.xml

来源: SECUNIA

名称: 25613

链接:http://secunia.com/advisories/25613

来源: SECUNIA

名称: 25166

链接:http://secunia.com/advisories/25166

来源: SECUNIA

名称: 24995

链接:http://secunia.com/advisories/24995

来源: SECUNIA

名称: 24947

链接:http://secunia.com/advisories/24947