forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей"
Отправлено opennews, 14-Мрт-14 12:50

Увидел свет (http://www.lighttpd.net/2014/3/12/1.4.35/) релиз легковесного http-сервера lighttpd 1.4.35 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...), которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов.
Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/).

Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.

URL: http://www.lighttpd.net/2014/3/12/1.4.35/
Новость: http://www.opennet.ru/opennews/art.shtml?num=39310

Исходное сообщение
"Релиз http-сервера lighttpd 1.4.35 с устранением уязвимостей" Отправлено opennews, 14-Мрт-14 12:50
Увидел свет (http://www.lighttpd.net/2014/3/12/1.4.35/) релиз легковесного http-сервера lighttpd 1.4.35 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2...), которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов. Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/). Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти. URL: http://www.lighttpd.net/2014/3/12/1.4.35/ Новость: http://www.opennet.ru/opennews/art.shtml?num=39310

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Увидел свет (http://www.lighttpd.net/2014/3/12/1.4.35/) релиз легковесного http-сервера 
> lighttpd 1.4.35 (http://www.lighttpd.net). Выпуск носит корректирующий характер и содержит 
> около двадцати изменений. Отдельно отмечается устранение уязвимости (http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt), 
> которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке 
> SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, 
> "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов.

> Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти 
> за пределы текущей директории при указании ".." в пути, но проявляется 
> только при наличии директорий с символами "[]", что делает уязвимость неприменимой 
> на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание 
> в поле "Host:" имени "[]/../../../" может привести к выходу за пределы 
> /var/www/ при наличии директории /var/www/[]/).

> Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в 
> scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти 
> и обращением к уже освобождённым областям памяти.

> URL: http://www.lighttpd.net/2014/3/12/1.4.35/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=39310

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру