Use-After-Free-Schwachstelle in Lighttpd Server: offen seit 2018

Table of Contents

Eine kürzlich identifizierte Schwachstelle in Lighttpd, einem leichtgewichtigen Webserver, betrifft alle Versionen bis einschließlich 1.4.50. Diese Use-After-Free-Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, durch speziell gestaltete HTTP-Anfragen den Webserver zum Absturz zu bringen oder Speicher auszulesen, um auf sensible Daten zuzugreifen. Diese Schwachstelle wurde bereits 2018 von Lighttpd behoben, bleibt jedoch in vielen Implementierungen ungepatcht, was zu erheblichen Sicherheitsrisiken führt.

Lighttpd ist eine Open-Source-Webserver-Software, die für Umgebungen mit geringen Ressourcen, wie begrenzte CPU- und Speicherkapazitäten, entwickelt wurde. Diese Software ist sowohl in Binärform als auch im Quellcode verfügbar und wird in verschiedenen IoT- und Firmware-Umgebungen eingesetzt. Im November 2018 veröffentlichten Forscher von VDOO eine Schwachstelle im HTTP-Header-Parsing-Code von Lighttpd-Versionen bis einschließlich 1.4.50. Diese Sicherheitslücke wurde in der Version 1.4.51, die im August 2018 veröffentlicht wurde, von Lighttpd behoben. VDOO identifizierte den primären Einfluss der Schwachstelle als Denial of Service (DoS), der durch das Freigeben von Speicherzeigern ausgelöst wird.

Jedoch wurde für die Behebung dieser Schwachstelle keine CVE-ID vergeben, was dazu führte, dass diese Sicherheitslücke in vielen Projekten, die ältere Versionen von Lighttpd verwenden, nicht öffentlich bekannt wurde. Das Lighttpd-Projekt hat nun die CVE-2018-25103 erhalten, um diese Schwachstelle zu identifizieren und Lieferkettenpartner zur Umsetzung der erforderlichen Korrekturmaßnahmen zu alarmieren.

Die Auswirkungen dieser Schwachstelle variieren stark aufgrund der unterschiedlichen Einsatzmöglichkeiten von Lighttpd als Webserver in verschiedenen Produktimplementierungen. Im Allgemeinen kann ein entfernter, nicht authentifizierter Angreifer speziell gestaltete HTTP-Anfragen verwenden, um den Webserver zum Absturz zu bringen und/oder Speicher auszulesen, um auf sensible Daten, wie Speicheradressen von Prozessen, zuzugreifen.

Referenzen:

Related Posts

Remote Code Execution Schwachstelle in Apache CloudStack LTS

Das Apache CloudStack-Projekt kündigt die Veröffentlichung der LTS-Sicherheitsupdates 4.18.2.1 und 4.19.0.2 an, die die Schwachstellen CVE-2024-38346 und CVE-2024-39864 beheben.

Read More

Hacker stehlen 650 GB Daten der TÜV Rheinland Akademie GmbH

Die TÜV Rheinland Akademie GmbH, ein Weiterbildungsanbieter für IT Security, meldete einen unautorisierten Zugriff auf einzelne Bereiche ihres Schulungsnetzwerks durch Hacker. Betroffen sind Trainingsinhalte, Raumbelegungsinformationen und potenziell Zugangsdaten zu Schulungen, die inzwischen unbrauchbar gemacht wurden. Sensible personenbezogene Daten scheinen nicht betroffen zu sein. Insgesamt belaufen sich die gestohlenen Daten auf über 650 GB.

Read More

Schwachstelle im RADIUS-Protokoll erlaubt unauthorisierten Zugriff

Eine neue Schwachstelle im RADIUS-Protokoll, bekannt als Blast-RADIUS, wurde von Forschern der UC San Diego und ihren Partnern aufgedeckt. Der RADIUS (Remote Authentication Dial-In User Service) ist ein weit verbreitetes Authentifizierungsprotokoll, das seit den frühen 1990er Jahren in der Netzwerk-Infrastruktur verwendet wird. Trotz seines Alters bleibt RADIUS das Standardprotokoll für die Authentifizierung und wird von nahezu jedem Switch, Router, Access Point und VPN-Konzentrator der letzten zwanzig Jahre unterstützt.

Read More