漏洞信息详情

lighttpd 不安全临时文件创建漏洞

• CNNVD编号：CNNVD-201303-338
• 危害等级： 低危
  
• CVE编号： CVE-2013-1427
• 漏洞类型： 加密问题
• 发布时间： 2013-03-18
• 威胁类型： 本地
• 更新时间： 2013-03-22
• 厂        商： lighttpd
• 漏洞来源： Stefan B??hler

漏洞简介

lighttpd是德国软件开发者Jan Kneschke所研发的一款开源的Web服务器，它的主要特点是仅需少量的内存及CPU资源即可达到同类网页服务器的性能。

基于Debian GNU/Linux平台上的FastCGI PHP支持lighthttpd 1.4.28之前版本中的配置文件中存在漏洞，该漏洞源于在/tmp目录下创建可预测名的套接字文件。通过符号链接或竞争条件，本地攻击者利用该漏洞劫持PHP控制套接字进而执行未授权操作，如强制使用不同版本的PHP。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.lighttpd.net/

参考网址

来源: XF

名称: lighttpd-cve20131427-symlink(82897)

链接:http://xforce.iss.net/xforce/xfdb/82897

来源: BID

名称: 58528

链接:http://www.securityfocus.com/bid/58528

来源: DEBIAN

名称: DSA-2649

链接:http://www.debian.org/security/2013/dsa-2649

来源: OSVDB

名称: 91462

链接:http://osvdb.org/91462

受影响实体

• Lighttpd Lighttpd:1.3.16  
• Lighttpd Lighttpd:1.4.3  
• Lighttpd Lighttpd:1.4.5  
• Lighttpd Lighttpd:1.4.4  
• Lighttpd Lighttpd:1.4.8  

补丁

暂无