Miembros de
Boletines de Vulnerabilidades |
Denegación de servicio en lighttpd |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Denegación de Servicio |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto sin cuenta a un servicio estandar |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | Lighttpd 1.4.31 |
Descripción |
|
| La función http_request_split_value en request.c, en lighttpd v1.4.31, permite a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de una solicitud con un encabezado que contiene un token vacío, como se demuestra con la cabecera "Connection: TE,,Keep-Alive". | |
Solución |
|
| El fabricante ha puesto a disposición del usuario una nueva versión que soluciona dicha vulnerabilidad. | |
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | CVE-2012-5533 |
| BID | |
Recursos adicionales |
|
|
Bug 790258 - VUL-0: CVE-2012-5533: lighttpd: Denial of Service via specially-crafted HTTP header https://bugzilla.novell.com/show_bug.cgi?id=790258 1.4.32 http://www.lighttpd.net/2012/11/21/1-4-32/ |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2012-11-26 |