Detalji

Otkrivena su dva propusta u programskom paketu lighttpd koje udaljeni napadač može iskoristiti za izvođenje DoS napada, otimanje korisničkih sjednica i otkrivanje osjetljivih informacija.

Paket: lighttpd 1.x
Operacijski sustavi: Debian Linux 5.0 (lenny), Debian Linux 6.0 (squeeze)
Kritičnost: 3.7
Problem: pogreška u programskoj funkciji, pogreška u programskoj komponenti
Iskorištavanje: udaljeno
Posljedica: otkrivanje osjetljivih informacija, uskraćivanje usluga (DoS)
Rješenje: programska zakrpa proizvođača
CVE: CVE-2011-4362, CVE-2011-3389
Izvorni ID preporuke: DSA-2368-1
Izvor: Debian
 
Problem:
Propusti su uzrokovani pogreškom u funkciji "base64_decode()" te nepravilnostima u Secure Sockets Layer 3.0 (SSL) i Transport Layer Security 1.0 (TLS) implementacijama. Tehnički, ovaj drugi propust nije pogreška spomenutog paketa, no lighttpd nudi zaobilazno rješenje za njegovo rješavanje.
Posljedica:
Napadaču nedostaci omogućuju izvođenje DoS napada, otimanje korisničkih sjednica i čitanje određenih podataka.
Rješenje:
Korisnici se potiču na korištenje ispravljenih inačica.

Izvorni tekst preporuke
Idi na vrh