Спустя 6 месяцев после выхода версии 1.4.19, анонсирован (http://www.lighttpd.net/2008/9/30/1-4-20-Otherwise-the-terro...) новый релиз - lighttpd 1.4.20. В новом релизе устранено около 60 ошибок, в том числе исправлено 4 уязвимости. Отдельно можно отметить обновление кода spawn-fcgi и изменение метода использования экранированных в URL символов в правилах модулей mod_rewrite и mod_redirect (отныне перед проверкой данные декодируются).
Исправленные уязвимости:
- Из-за утечки памяти в функции "http_request_parse()", злоумышленник может (http://www.lighttpd.net/security/lighttpd_sa_2008_07.txt), наводнив сервер определенными запросами, исчерпать всю доступную в системе память, если объем выделяемой lighttpd памяти не лимитирован;
- Уязвимость (http://www.lighttpd.net/security/lighttpd_sa_2008_04.txt), позволяющая злоумышленнику удаленно оборвать активные SSL соединения;
- Отсутствие (http://www.lighttpd.net/security/lighttpd_sa_2008_06.txt) в mod_userdir прин...
URL: https://www.opennet.ru/opennews/art.shtml?num=18163
Новость: https://www.opennet.ru/opennews/art.shtml?num=18163