17.04.2007 12:10
Update für Webserver Lighttpd beseitigt DoS-Schwachstellen
Der schlanke Mini-Webserver Lighttpd weist zwei Schwachstellen auf, die einen stabilen Betrieb gefährden können. Ein Angreifer kann dies für Denial-of-Service-Angriffe ausnutzen. So kann es beim Parsen der Zeichenfolge "\r\n\r\n" zu einer Vollauslastung oder einem Absturz des Systems kommen, wenn mittendrin die Client-Verbindung unterbrochen wird. Der Fehler findet sich nur in den Versionen 1.4.12 und 1.4.13.
Des Weiteren tritt bei der Verarbeitung von Dateien mit fehlerhaft gesetzten Zeitstempeln (mtime=0) eine Null-Pointer-Dereference auf, die ebenfalls zum Absturz führt. Für einen erfolgreichen Angriff muss allerdings eine präparierte Datei auf den Server geladen werden. Betroffen sind die Versionen 1.3.x und 1.4.x; ab 1.4.14 sind beide Fehler behoben, aktuell ist bereits 1.4.15 verfügbar. Lighttpd kommt wegen seiner geringen Ansprüche auch auf vielen embedded Systemen zum Einsatz.
Siehe dazu auch:
- Remote DOS in CRLF parsing, Fehlerbericht auf lighttpd.net
- DOS with files with mtime 0, Fehlerbericht auf lighttpd.net
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
