中国Linux公社论坛's Archiver

zy_sunshine 发表于 2010-2-4 00:25

lighttpd 1.4.x 爆高危漏洞

[b]lighttpd(发音为lighty)是一套开放源代码的网页服务器,以BSD许可证放出.相较于其他的网页服务器,lighttpd仅需少量的 内存及CPU资源即可达到同样的效能.今天lighttpd 张贴公告修复了一个已知的严重bug.可能会给 DoS/OOM 攻击以可乘之机.Li Ming (貌似是国人) reported a serious bug in lighttpd:[/b]
[b]If you send the request data very slow (e.g. sleep 0.01 after each byte), lighttpd will easily use all available memory and die (especially for parallel requests), allowing a DoS within minutes.
See: [/b][list][*][url=http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2010_01.txt][b]lighttpd_sa_2010_01.txt[/b][/url][b] (安全公告内文) [/b][*][url=http://redmine.lighttpd.net/issues/2147][b]Bug #2147[/b][/url][/list]
[b]The bug is tracked as CVE-2010-0295.

As far as we know all versions are affected.

该漏洞影响1.4.26以下 和  r2710 之前的所有lighttpd版本.如果你正在使用的话,

可以选择patch 修复.

补丁下载:

[/b][url=http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.x_fix_slow_request_dos.patch][b]http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.x_fix_slow_request_dos.patch[/b][/url][b] (适用于1.4.x)
[/b][url=http://download.lighttpd.net/lighttpd/security/lighttpd-1.5_fix_slow_request_dos.patch][b]http://download.lighttpd.net/lighttpd/security/lighttpd-1.5_fix_slow_request_dos.patch[/b][/url][b] (适用于1.5.x)

或者 check out 最新版本.[/b]

haulm 发表于 2010-2-4 10:31

1.4.26 版本还没有公布吧。
[url]http://download.lighttpd.net/lighttpd/snapshots-1.4.x/lighttpd-1.4.26rc1-r2710.tar.gz[/url]

[[i] 本帖最后由 haulm 于 2010-2-4 10:33 编辑 [/i]]

页: [1]

Powered by Discuz! Archiver 6.1.0F  © 2001-2007 Comsenz Inc.