Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/11/2012

Denegació de servici en lighttpd

S’ha descobert una vulnerabilitat en el servidor web que permetria una denegació de servici.

La funció http_request_split_value en request.c, en lighttpd v1.4.31, permet a atacants remots provocar una denegació de servici (bucle infinit) a través d’una sol·licitud amb un encapçalament que conté un token buit, com es demostra amb la capçalera "Connection: TE,,Keep-Alive".

Sistemes Afectats:

Lighttpd 1.4.31

Referències:

CVE-2012-5533

Solució:

El fabricant ha posat a disposició de l’usuari una nova versió que soluciona la dita vulnerabilitat.

Notes:

Bug 790258 - VUL-0: CVE-2012-5533: lighttpd: Denial of Service via specially-crafted HTTP header
https://bugzilla.novell.com/show_bug.cgi?id=790258

1.4.32
http://www.lighttpd.net/2012/11/21/1-4-32/

CSIRT-CV