GLSA 200502-21: lighttpd: Script source disclosure

Опасность:низкая
Заголовок:lighttpd: Script source disclosure
Дата:15.02.2005
Ошибки: #81776
ID:200502-21

Сводка

An attacker can trick lighttpd into revealing the source of scripts that should be executed as CGI or FastCGI applications.

Назначение

lighttpd is a small-footprint, fast, compliant and very flexible web-server which is optimized for high-performance environments.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
www-servers/lighttpd < 1.3.10-r1 >= 1.3.10-r1 All supported architectures

Описание

lighttpd uses file extensions to determine which elements are programs that should be executed and which are static pages that should be sent as-is. By appending %00 to the filename, you can evade the extension detection mechanism while still accessing the file.

Воздействие

A remote attacker could send specific queries and access the source of scripts that should have been executed as CGI or FastCGI applications.

Обход

There is no known workaround at this time.

Решение

All lighttpd users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=www-servers/lighttpd-1.3.10-r1"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200502-21.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!