lighttpd 不安全临时文件创建漏洞

漏洞信息详情

lighttpd 不安全临时文件创建漏洞

• CNNVD编号：CNNVD-201303-338
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2013-1427
  
• 漏洞类型：
  
  
  加密问题
  
• 发布时间：
  
  2013-03-18
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2013-03-22
  
• 厂        商：
  
  lighttpd
• 漏洞来源：
  Stefan B??hler

lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器，它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。

基于Debian GNU/Linux平台上的FastCGI PHP支持lighthttpd 1.4.28之前版本中的配置文件中存在漏洞，该漏洞源于在/tmp目录下创建可预测名的套接字文件。通过符号链接或竞争条件，本地攻击者利用该漏洞劫持PHP控制套接字进而执行未授权操作，如强制使用不同版本的PHP。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.lighttpd.net/

来源: XF

名称: lighttpd-cve20131427-symlink(82897)

链接:http://xforce.iss.net/xforce/xfdb/82897

来源: BID

名称: 58528

链接:http://www.securityfocus.com/bid/58528

来源: DEBIAN

名称: DSA-2649

链接:http://www.debian.org/security/2013/dsa-2649

来源: OSVDB

名称: 91462

链接:http://osvdb.org/91462