卡内基梅隆大学计算机应急响应小组 (CERT/CC) 发布了一份关于 lighttpd 1.4.50 及更早版本中释放后使用漏洞的严重漏洞通知。此漏洞允许远程、未经身份验证的攻击者利用精心设计的 HTTP 请求,导致 Web 服务器崩溃并可能泄露敏感数据。尽管 lighttpd 项目在 2018 年解决了这个问题,但许多实现仍未修补,带来重大安全风险。
lighttpd 是一款专为低资源环境设计的轻量级 Web 服务器,由于其效率高、占用的 CPU 和内存极少,被广泛应用于物联网设备和固件。2018 年 11 月,VDOO研究人员发现 lighttpd 的 HTTP 标头解析代码中存在一个漏洞,影响 1.4.50 及更早版本。该漏洞已于 2018 年 8 月发布的 1.4.51 版本中修复,但未分配 CVE ID,导致许多系统不知道需要更新。
2024 年 4 月,Binarly 发现该漏洞在许多产品中持续存在,凸显了重大的供应链风险。由于没有 CVE ID,许多组织未能认识到安全修复的必要性。lighttpd 项目现已获得CVE-2018-25103,以正式识别该漏洞并提醒供应链合作伙伴实施必要的更新。
攻击者可以通过向目标 Web 服务器发送特制的 HTTP 请求来利用此漏洞。这可能导致:
-
拒绝服务 (DoS):导致 Web 服务器崩溃,使合法用户无法使用。 -
信息泄露:泄露服务器内存中的敏感信息,包括进程地址和潜在的机密数据。
CVE-2018-25103漏洞的影响范围不仅限于单个网站。由于 lighttpd 在物联网设备和嵌入式系统中的广泛使用,包括主要供应商的产品在内的各种产品都可能面临风险。
CERT/CC 强烈建议各组织立即采取行动,减轻这一威胁:
-
应用补丁:将 lighttpd 更新到最新版本,确保应用了供应商的所有补丁。 -
更换寿命终止的设备:如果您的设备不再受供应商支持,请考虑更换它们以消除漏洞。 -
限制网络访问:限制对 lighttpd 实现的网络访问,以最大限度地减少潜在攻击的风险。
卡内基梅隆大学计算机应急响应小组的报告:https://kb.cert.org/vuls/id/312260
原文始发于微信公众号(独眼情报):lighttpd Web 服务器漏洞导致敏感数据泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论