Security Lab

Уязвимость при обработке медленных запросов в lighttpd

Дата публикации:03.02.2010
Дата изменения:11.02.2010
Всего просмотров:2961
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: lighttpd 1.x
Уязвимые версии: lighttpd 1.4.25, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю произвести DoS атаку.

Уязвимость существует из-за того, что сервер выделяет несколько килобайт динамической памяти для каждого сетевого пакета. Удаленный пользователь может потребить всю доступную память на системе путем отправки в пределах HTTP сессии большое количество сетевых пакетов (например, 1 пакет размером в 1 байт в секунду).

URL производителя: lighttpd.net

Решение: Установите последнюю версию 1.4.26 с сайта производителя.

Журнал изменений:

11.02.2010
Изменена секция «Решение».

Ссылки: http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2010_01.txt
http://redmine.lighttpd.net/issues/2147