Lighttpd多个远程拒绝服务漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1190967 漏洞类型 其他
发布时间 2007-04-17 更新时间 2007-04-18
CVE编号 CVE-2007-1869 CNNVD-ID CNNVD-200704-292
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-292
|漏洞详情
lighttpd是德国软件开发者JanKneschke所研发的一款开源的Web服务器,它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。Lighttpd如果在解析\r\n\r\n期间连接中断的话,服务器就会陷入死循环,使用100%的CPU时间。攻击者可以反复利用这个漏洞,直至到达服务器的并行连接极限或到达文件描述符限制。Lighttpd为mtime缓存所生成的字符串,缓存密钥默认值为0。这时字符串的指针仍为空,如果请求了mtime为0的文件就会试图访问空指针导致崩溃。利用这个漏洞要求恶意用户能够上传文件或操控文件的mtime。
|参考资料

来源:www.lighttpd.net
链接:http://www.lighttpd.net/assets/2007/4/13/lighttpd_sa2007_01.txt
来源:BUGTRAQ
名称:20070420FLEA-2007-0011-1:lighttpd
链接:http://www.securityfocus.com/archive/1/archive/1/466464/30/6900/threaded
来源:VUPEN
名称:ADV-2007-1399
链接:http://www.frsirt.com/english/advisories/2007/1399
来源:SECUNIA
名称:24886
链接:http://secunia.com/advisories/24886
来源:issues.rpath.com
链接:https://issues.rpath.com/browse/RPL-1218
来源:XF
名称:lighttpd-rnrn-dos(33671)
链接:http://xforce.iss.net/xforce/xfdb/33671
来源:BID
名称:23515
链接:http://www.securityfocus.com/bid/23515
来源:SUSE
名称:SUSE-SR:2007:007
链接:http://www.novell.com/linux/security/advisories/2007_007_suse.html
来源:DEBIAN
名称:DSA-1303
链接:http://www.debian.org/security/2007/dsa-1303
来源:GENTOO
名称:GLSA-200705-07
链接:http://security.gentoo.org/glsa/glsa-200705-07.xml
来源:SECUNIA
名称:25613
链接:http://secunia.com/advisories/25613
来源:SECUNIA
名称:25166
链接:http://secunia.com/advisories/25166
来源:SECUNIA
名称:24995
链接:http://secunia.com/advisories/24995
来源:SECUNIA
名称:24947
链接: