Alert! Update behebt kritische Lücke in Webserver lighttpd

Ein Buffer Overflow im mod_fastcgi-Modul des schlanken Open-Source-Webservers lighttpd gefährdet in Zusammenhang mit PHP die Sicherheit von Installationen. Angreifer können durch das Senden manipulierter Header an den Server eigenen Code einschleusen und mit den Rechten von lighttpd ausführen. Ursache des Problems ist die fehlende Prüfung der Länge des FastCGI-Headers beim Einlesen der empfangenen Header und der anschließenden Übergabe an PHP. Betroffen sind alle Versionen bis einschließlich 1.4.17. In Version 1.4.18 ist der Fehler behoben. Ein Patch steht ebenfalls zum Download bereit.

Die Entdecker der Lücke, der Sicherheitsdienstleister SecWeb, weist aber darauf hin, dass seit Version 1.4.17 im Header keine Zeichen unter einem Wert von 0x20 enthalten sind, was das Entwickeln eines Exploits erschwere, aber nicht unmöglich mache. SecWeb will einen funktionierenden Exploit entwickelt haben, ihn aufgrund des Risikos jedoch nicht veröffentlichen. Stattdessen veröffentlicht der Dienstleister nur einen Exploit für die älteren Versionen bis 1.4.16 und PHP 5.2.x.

Lighttpd, auch lighty genannt, ist ein ressourcenschonender, schneller Webserver, der sich wie der Apache durch Module erweitern lässt. Lighttpd unterstützt durch CGI beziehungsweise FastCGI beliebige Skriptsprachen und eignet sich aufgrund der geringen CPU- und Speicherbelastung gut für Embedded-Systeme. Unter anderem setzen YouTube, SourceForge und Wikipedia auf teilweise selbst angepasste Versionen von lighty.

Siehe dazu auch:

• FastCGI header overrun in mod_fastcgi, Fehlermeldung von
• Lighttpd FastCGI Remote Vulnerability, Fehlerbericht von SecWeb

(dab)