S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 08 octobre 2008
No CERTA-2008-AVI-479-001 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Lighttpd
Tableau 1: Gestion du document
| Référence |
CERTA-2008-AVI-479-001 |
| Titre |
Multiples
vulnérabilités dans Lighttpd |
| Date de la première
version |
30 septembre 2008 |
| Date de la dernière
version |
08 octobre 2008 |
| Source(s) |
Bulletins de
sécurité Lighttpd 04, 05, 06 et
07 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Déni de service ;
- contournement de la politique de sécurité
;
- atteinte à la confidentialité des
données .
Toutes les versions de Lighttpd antérieures
à la version 1.4.20.
Plusieurs vulnérabilités dans
Lighttpd peuvent être exploitées par une
personne malveillante afin de provoquer un déni de
service, de contourner la politique de sécurité
ou d'accéder à des informations sensibles.
Plusieurs vulnérabilités affectant
Lighttpd ont été découvertes
:
- une faiblesse dans la gestion de la mémoire par la
fonction http_request_parse()
permet à une personne malintentionnée d'obtenir
un accès total à la mémoire ;
- une erreur dans la gestion des noms de fichier permet
à une personne malintentionnée de poter
atteinte à la confidentialité des
données ;
- une erreur due au non décodage des requêtes
avant le contrôle avec les règles de
réécriture et de redirection permet à
une personne malveillante de contourner ces
dernières.
Se référer aux bulletins de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 30 septembre 2008
- version initiale.
- 08 octobre 2008
- ajout de vulnérabilités et des
références CVE.
CERTA
2012-01-04
|
)
