漏洞信息详情
lighttpd畸形HTTP请求远程拒绝服务漏洞
漏洞简介
lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器,它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。
Lighttpd服务器每次接收到网络报文都会分配4K或16K的堆内存,如果远程攻击者缓慢的发送HTTP请求(如每秒钟发送1字节),就会耗尽所有可用内存导致服务器终止。
漏洞公告
目前厂商还没有提供补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.lighttpd.net/
参考网址
来源: BID
名称: 38036
链接:http://www.securityfocus.com/bid/38036
来源: download.lighttpd.net
链接:http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2010_01.txt
来源: download.lighttpd.net
链接:http://download.lighttpd.net/lighttpd/security/lighttpd-1.5_fix_slow_request_dos.patch
来源: download.lighttpd.net
链接:http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.x_fix_slow_request_dos.patch
来源: XF
名称: lighttpd-slow-request-dos(56038)
链接:http://xforce.iss.net/xforce/xfdb/56038
来源: MLIST
名称: [oss-security] 20100202 lighttpd: slow request dos/oom attack [CVE-2010-0295]
链接:http://www.openwall.com/lists/oss-security/2010/02/01/8
来源: DEBIAN
名称: DSA-1987
链接:http://www.debian.org/security/2010/dsa-1987
来源: SECUNIA
名称: 38403
链接:http://secunia.com/advisories/38403
来源: redmine.lighttpd.net
链接:http://redmine.lighttpd.net/projects/lighttpd/repository/revisions/2711
来源: redmine.lighttpd.net
链接:http://redmine.lighttpd.net/projects/lighttpd/repository/revisions/2710
来源: redmine.lighttpd.net
链接:http://redmine.lighttpd.net/issues/2147
来源:NSFOCUS 名称:14455 链接:http://www.nsfocus.net/vulndb/14455
受影响实体
- Lighttpd Lighttpd:1.4.18<!--2000-1-1-->
- Lighttpd Lighttpd:1.4.2<!--2000-1-1-->
- Lighttpd Lighttpd:1.4.3<!--2000-1-1-->
- Lighttpd Lighttpd:1.4.4<!--2000-1-1-->
- Lighttpd Lighttpd:1.4.5<!--2000-1-1-->
补丁
- lighttpd-1.5_fix_slow_request_dos<!---->
- lighttpd-1.4.x_fix_slow_request_dos<!---->
还没有评论,来说两句吧...