Mehrere Schwachstellen in Webserver Lighttpd

Der schlanke Open-Source-Webserver lighttpd weist mehrere Schwachstellen auf, die Angreifer für Denial-of-Service-Angriffe oder zum Umgehen von Sicherheitsrestriktionen ausnutzen können. Durch das Anfügen eines Slashes an eine URL soll laut Fehlerbericht der Entwickler der Zugriff auf geschützte Dateien möglich sein. Zudem stecken Fehler in den Modulen mod_auth und mod_scgi, die bei der Verarbeitung bestimmer Requests abstürzen. Schließlich lassen sich Fehler bei der Verarbeitung von HTTP-Headern und ein Fehler in der Limitierung der aktiven Verbindungen ebenfalls für DoS-Attacken missbrauchen. Die Fehler wurden in Version 1.4.15 von lighttpd entdeckt, vorherige Versionen können gleichfalls betroffen sein. Die Fehler sind in den Entwickler-Repositories (http://trac.lighttpd.net/trac/) behoben, eine offizielle Version steht indes noch nicht zur Verfügung.

Lighttpd, auch lighty genannt, ist ein ressourcenschonender, schneller Webserver, der sich wie der Apache durch Module erweitern lässt. Lighttpd unterstützt PHP, Python und Ruby und eignet sich aufgrund der geringen CPU- und Speicherbelastung gut für Embedded-Systeme. Unter anderem setzen YouTube, SourceForge und Wikipedia auf teilweise selbst angepasste Versionen von lighty.

Siehe dazu auch:

• Changeset 1875, Fehlerbericht zu lighttpd
• lighty 1.4.13 crashes with accessing out of bound fd array index, Fehlerbericht zu lighttpd
• appending / to URL breaks access-deny setting, Fehlerbericht zu lighttpd
• Segmentation fault in mod_scgi, Fehlerbericht zu lighttpd
• Lighttpd consumes > 1GB of memory, Fehlerbericht zu lighttpd

(dab)