开源网页服务器Lighttpd再爆漏洞影响所有版本

一不小心 · 发表于 2011-12-1 23:21:10

lighttpd（发音为lighty）是一套开放源代码的网页服务器，以BSD许可证发布。相较于其他的网页服务器，lighttpd仅需少量的存储器及CPU资源即可达到同样的性能。今天lighttpd 团队对外发布公告，包括最新版本1.4.29在内的所有版本存在通过mod_auth 模块在base64加密字符的时候会出现符号错误导致的越界漏洞。

具体信息参见：http://download.lighttpd.net/lig ... ttpd_sa_2011_01.txt

该漏洞影响了当前lighttpd的所有发布版本以及SVN r2806 之前的版本。目前官方已经发布了补丁，估计新版本1.4.30也会不久发布。下载patch：http://redmine.lighttpd.net/atta ... 64-signedness.patch

这个漏洞(http://redmine.lighttpd.net/issues/2370)是一个叫“Xi Wang”的国人发现的。

注：如果你的lighttpd 没有启用mod_auth 模块，则可以表示影响不大。

相关介绍：

Lighttpd是一个德国人领导的开源软件，其根本的目的是提供一个专门针对高性能网站，安全、快速、兼容性好并且灵活的web server环境。具有非常低的内存开销，cpu占用率低，效能好，以及丰富的模块等特点。lighttpd是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI， CGI， Auth，输出压缩（output compress）， URL重写， Alias等重要功能，而Apache之所以流行，很大程度也是因为功能丰富，在lighttpd上很多功能都有相应的实现了，这点对于apache的用户是非常重要的，因为迁移到lighttpd就必须面对这些问题。

Kvm · 发表于 2011-12-1 23:21:52

哦也

0x59 · 发表于 2011-12-1 23:30:26

型号没用。。

Kokgog · 发表于 2011-12-1 23:33:04

用了也不要紧，有几个人会用webserver原生的http auth........

张姑娘 · 发表于 2011-12-1 23:34:39

如果這個是像上次nginx那樣的重大漏洞空字節的那個就爽了

那個漏洞容易理解而且威力巨大

Kokgog · 发表于 2011-12-1 23:36:15

这语气，好熟悉的感觉呀

用户名 · 发表于 2011-12-1 23:38:13

哦耶

店小二 · 发表于 2011-12-1 23:54:07

吸毒吗？

douddh · 发表于 2011-12-2 00:01:57

没用这个

		自动登录	找回密码
密码			注册

开源网页服务器Lighttpd再爆漏洞 影响所有版本

回复 5# 张姑娘 的帖子

开源网页服务器Lighttpd再爆漏洞影响所有版本

回复 5# 张姑娘的帖子