Risque

  • Déni de service ;
  • contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données .

Systèmes affectés

Toutes les versions de Lighttpd antérieures à la version 1.4.20.

Résumé

Plusieurs vulnérabilités dans Lighttpd peuvent être exploitées par une personne malveillante afin de provoquer un déni de service, de contourner la politique de sécurité ou d'accéder à des informations sensibles.

Description

Plusieurs vulnérabilités affectant Lighttpd ont été découvertes :

  • une faiblesse dans la gestion de la mémoire par la fonction http_request_parse() permet à une personne malintentionnée d'obtenir un accès total à la mémoire ;
  • une erreur dans la gestion des noms de fichier permet à une personne malintentionnée de poter atteinte à la confidentialité des données ;
  • une erreur due au non décodage des requêtes avant le contrôle avec les règles de réécriture et de redirection permet à une personne malveillante de contourner ces dernières.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation