Eine kürzlich identifizierte Schwachstelle in Lighttpd, einem leichtgewichtigen Webserver, betrifft alle Versionen bis einschließlich 1.4.50. Diese Use-After-Free-Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen den Webserver zum Absturz zu bringen oder Speicher auszulesen, um auf sensible Daten zuzugreifen. Diese Schwachstelle wurde bereits 2018 von Lighttpd behoben, bleibt jedoch in vielen Implementierungen ungepatcht, was zu erheblichen Sicherheitsrisiken führt.
Lighttpd ist eine Open-Source-Webserver-Software, die für Umgebungen mit geringen Ressourcen, wie begrenzte CPU- und Speicherkapazitäten, entwickelt wurde. Diese Software ist sowohl in Binärform als auch im Quellcode verfügbar und wird in verschiedenen IoT- und Firmware-Umgebungen eingesetzt. Im November 2018 veröffentlichten Forscher von VDOO eine Schwachstelle im HTTP-Header-Parsing-Code von Lighttpd-Versionen bis einschließlich 1.4.50. Diese Sicherheitslücke wurde in der Version 1.4.51, die im August 2018 veröffentlicht wurde, von Lighttpd behoben. VDOO identifizierte den primären Einfluss der Schwachstelle als Denial of Service (DoS), der durch das Freigeben von Speicherzeigern ausgelöst wird.
Jedoch wurde für die Behebung dieser Schwachstelle keine CVE-ID vergeben, was dazu führte, dass diese Sicherheitslücke in vielen Projekten, die ältere Versionen von Lighttpd verwenden, nicht öffentlich bekannt wurde. Das Lighttpd-Projekt hat nun die CVE-2018-25103 erhalten, um diese Schwachstelle zu identifizieren und Lieferkettenpartner zur Umsetzung der erforderlichen Korrekturmaßnahmen zu alarmieren.
Die Auswirkungen dieser Schwachstelle variieren stark aufgrund der unterschiedlichen Einsatzmöglichkeiten von Lighttpd als Webserver in verschiedenen Produktimplementierungen. Im Allgemeinen kann ein entfernter, nicht authentifizierter Angreifer speziell gestaltete HTTP-Anfragen verwenden, um den Webserver zum Absturz zu bringen und/oder Speicher auszulesen, um auf sensible Daten, wie Speicheradressen von Prozessen, zuzugreifen.
Referenzen:
- National Vulnerability Database (NVD)
- VDOO Sicherheitsanalyse
- Binarly Sicherheitsbericht
- runZero Blog
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: