lighttpd < 1.4.19 多个漏洞
medium Nessus 插件 ID 106624
语言:
简介
远程 Web 服务器受到多个漏洞影响描述
根据其标题,远程主机上运行的 lighttpd 版本低于 1.4.19。因而可能会受到下列漏洞的影响:- lighttpd 未正确计算文件描述符数组的大小,允许远程攻击者通过大量连接触发越界访问,导致拒绝服务(崩溃)。- 发生分支错误时,lighttpd 发送 CGI 脚本的源代码,而非 500 错误,可能允许远程攻击者获得敏感信息。- 未设置 userdir.path 时使用默认 $HOME,可能允许远程攻击者读取任意文件。请注意,Nessus 并未测试这些问题,而是只依赖于应用程序自我报告的版本号。解决方案
升级版本到 lighttpd 1.4.19。或者,应用供应商提供的修补程序。插件详情
严重性: Medium
ID: 106624
文件名: lighttpd_1_4_19.nasl
版本: Revision: 1.2
类型: remote
系列: Web Servers
发布时间: 2018/2/6
最近更新时间: 2018/2/7
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 4.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.9
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/a:lighttpd:lighttpd
必需的 KB 项: installed_sw/lighttpd, Settings/ParanoidReport
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2008/3/10