Раскрытие данных в lighttpd

Дата публикации:
05.03.2008
Дата изменения:
16.04.2008
Всего просмотров:
1490
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2008-1111
CVE-2008-1270
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
lighttpd 1.x
Уязвимые версии: lighttpd 1.4.18, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

1. Уязвимость существует из-за ошибки в mod_cgi. Удаленный пользователь может получить доступ к исходному коду сценариев, если приложение не способно выполнить fork.

2. Уязвимость существует из-за того, что модуль mod_userdir использует по умолчанию переменную окружения "$HOME", если не установлен userdir.path. Злоумышленник может получить доступ к содержимому произвольных файлов на некоторых системах например, через пользователя "nobody".

URL производителя: lighttpd.net

Решение: Установите последнюю версию 1.4.19 с сайта производителя.

или введите имя

CAPTCHA