Lighttpd: Anfällig gegen Denial-of-Service-Angriffe

Nach einem Bericht von Secunia bestehen zwei Sicherheitslücken: Version 1.4.12 und 1.4.13 des Webservers enthalten einen Fehler bei der Verarbeitung der Sequenz "\r\n\r\n" (doppeltes Line Feed/Carriage Return). Angreifer können diese Schwachstelle ausnutzen, um Lighttpd in eine endlose Schleife zu zwingen, die CPU-Ressourcen auffrisst. Die zweite Sicherheitslücke wurde für ältere 1.4.x- und 1.3.x-Versionen bestätigt: Der Aufruf einer Datei mit einem "mtime"-Wert von 0 führt zum Absturz des Webservers. Beide Schwachstellen sind in der aktuellen Version 1.4.15 behoben. (twi)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.