URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 44107
[ Назад ]

Исходное сообщение
"OpenNews: В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера"
Отправлено opennews , 30-Сен-08 00:13

"lighttpd Duplicate Request Headers Memory Leak Vulnerability (http://secunia.com/advisories/32069/)" - в lighttpd (http://www.lighttpd.net/) обнаружена уязвимость (http://trac.lighttpd.net/trac/ticket/1774), которую можно использовать для блокировки работы сервера. Из-за утечки памяти в функции "http_request_parse()", злоумышленник может наводнив сервер определенными запросами исчерпать всю доступную в системе память, если объем выделяемой lighttpd памяти не лимитирован. Уязвимость присутствует во всех версиях, включая последний релиз 1.4.19, исправления пока доступны только в экспериментальном репозитории (http://trac.lighttpd.net/trac/changeset/2305) или в виде патча (http://trac.lighttpd.net/trac/attachment/ticket/1774/lighttp...).
URL: http://secunia.com/advisories/32069/
Новость: https://www.opennet.ru/opennews/art.shtml?num=18159

Содержание

В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера,User294, 00:13 , 30-Сен-08
В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера,Аноним, 06:29 , 30-Сен-08
- В lighttpd обнаружена уязвимость, которую можно использовать...,Frank, 07:44 , 30-Сен-08
В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера,Аноним, 08:46 , 30-Сен-08
В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера,semciam.ru, 19:37 , 01-Окт-08
- В lighttpd обнаружена уязвимость, которую можно использовать...,User294, 23:10 , 01-Окт-08

Сообщения в этом обсуждении

"В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера"
Отправлено User294 , 30-Сен-08 00:13

Вот мля.Баг конечно не очень крутой, но и приятного как-то мало.

"В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера"
Отправлено Аноним , 30-Сен-08 06:29

а эксплоит или описание полное есть?

"В lighttpd обнаружена уязвимость, которую можно использовать..."
Отправлено Frank , 30-Сен-08 07:44

>а эксплоит или описание полное есть?
Не путай утечку памяти с переполнением. Эксплойта нет и не будет.

"В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера"
Отправлено Аноним , 30-Сен-08 08:46

А новость уже малоактуальная, потому как официально анонсирован выход lighttpd 1.4.20, на сайте подробности - http://www.lighttpd.net/2008/9/30/1-4-20-Otherwise-the-terro...

"В lighttpd обнаружена уязвимость, которую можно использовать для блокировки работы сервера"
Отправлено semciam.ru , 01-Окт-08 19:37

Не нашел способа вытащить патч в plain text.

"В lighttpd обнаружена уязвимость, которую можно использовать..."
Отправлено User294 , 01-Окт-08 23:10

>Не нашел способа вытащить патч в plain text.
А что мешает поставить 1.4.20 не копаясь с патчами?