ГлавнаяБаза уязвимостей БДУ → BDU:2024-03963
5средняя

BDU:2024-03963

Уязвимость веб-сервера lighttpd, связанная с выходом операции за границы буфера в памяти, позволяющая нарушителю обойти механизм защиты ASLR и получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-05-21
Описание

Уязвимость веб-сервера lighttpd связана с выходом операции за границы буфера в памяти при сравнении значений заголовков If-Modified-Since. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти механизм защиты ASLR и получить несанкционированный доступ к защищаемой информации путем отправки многочисленных запросов

Затрагиваемое ПО и версии
Lighttpd (1.4.45)Intel Server System M70KLP (01.04.0030)
Способ устранения

Использование рекомендаций:
Для Lighttpd:
https://github.com/lighttpd/lighttpd1.4/commit/df8e4f95614e476276a55e34da2aa8b00b1148e9
https://github.com/lighttpd/lighttpd1.4/releases/tag/lighttpd-1.4.51

Для Intel Server System M70KLP:
В связи с окончанием жизненного цикла данного программного продукта рекомендется использовать компенсируюшие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.binarly.io/advisories/brly-2024-002https://habr.com/ru/news/807231/https://www.securitylab.ru/news/547439.phphttps://xakep.ru/2024/04/12/bmc-lighttpd-flaw/
Проверьте безопасность своего сайта и почты → Полная проверка домена