开源网页服务器Lighttpd再爆漏洞 影响所有版本

最新推荐文章于 2024-04-02 10:07:36 发布
最新推荐文章于 2024-04-02 10:07:36 发布
阅读量1.1k 收藏
点赞数
原文链接:http://www.cnblogs.com/yonge/archive/2011/12/01/2271079.html
版权

lighttpd(发音为lighty)是一套开放源代码的网页服务器,以BSD许可证发布。相较于其他的网页服务器,lighttpd仅需少量的存储器及CPU资源即可达到同样的性能。今天lighttpd 团队对外发布公告,包括最新版本1.4.29在内的所有版本存在通过mod_auth 模块在base64加密字符的时候会出现符号错误导致的越界漏洞。

具体信息参见:http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2011_01.txt

该漏洞影响了当前lighttpd的所有发布版本以及SVN r2806 之前的版本。目前官方已经发布了补丁,估计新版本1.4.30也会不久发布。下载patch:http://redmine.lighttpd.net/attachments/download/1323/lighttpd-fix-base64-signedness.patch

这个漏洞(http://redmine.lighttpd.net/issues/2370)是一个叫“Xi Wang”的国人发现的。

注:如果你的lighttpd 没有启用mod_auth 模块,则可以表示影响不大。

相关介绍:

Lighttpd是一个德国人领导的开源软件,其根本的目的是提供一个专门针对高性能网站,安全、快速、兼容性好并且灵活的web server环境。具有非常低的内存开销,cpu占用率低,效能好,以及丰富的模块等特点。lighttpd是众多OpenSource轻量级的web server中较为优秀的一个。支持FastCGI, CGI, Auth, 输出压缩(output compress), URL重写, Alias等重要功能,而Apache之所以流行,很大程度也是因为功能丰富,在lighttpd上很多功能都有相应的实现了,这点对于apache的用 户是非常重要的,因为迁移到lighttpd就必须面对这些问题。

转载于:https://www.cnblogs.com/yonge/archive/2011/12/01/2271079.html

weixin_30326515
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[CVE-2014-2324] [5.0]Lighttpd mod_evhost与mod_simple_vhost 路径回溯漏洞
佛曰不可说
10-17 2310
漏洞描述: 由于
【教程】一些服务器常见漏洞的修复方法,亲测超详细
热门推荐
xfxuezhang.cn
09-14 2万+
一些常见的漏洞修复
hackmap-[常见的文件解析漏洞总结]
m0_43405474的博客
04-07 4568
hackmap-[常见的文件解析漏洞总结]0.前言1.Apache解析漏洞2.IIS解析漏洞2.1 IIS6.0解析漏洞2.2 IIS7.0/7.5解析漏洞3.PHP CGI解析漏洞3.1原理3.2 利用3.3防御4.Nginx解析漏洞4.1 nginx PHP CGI 解析漏洞4.2 nginx 空字节漏洞4.2.1原理:4.2.2 利用:5.lighttpd解析漏洞 0.前言 文件解析漏洞可能导致图片木马的非法解析执行。后面发现新的解析漏洞会继续更新。 1.Apache解析漏洞 Apache 是从右往左
linux 目录遍历漏洞,Lighttpd多个目录遍历漏洞(CVE-2014-2324)
weixin_42181686的博客
05-05 1226
发布日期:2014-03-12更新日期:2014-03-14受影响系统:Lighttpd lighttpd 1.4.xLighttpd lighttpd 1.3.x描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66157CVE(CAN) ID: CVE-...
lighttpd-1.4.30.tar.gz
04-09
在本篇文章中,我们将深入探讨lighttpd-1.4.30版本的特性和配置步骤,帮助你更好地理解和使用这个优秀的开源软件。 1. **lighttpd简介** lighttpd,顾名思义,轻巧且快速的HTTP服务器,它设计的目标是提供一个低...
frsb-开源
05-15
开源软件是 frsb 的一大特色,这意味着源代码对所有人开放,用户不仅可以免费使用,还可以查看、学习甚至修改源代码,以适应不同的功能需求或优化性能。开源社区的力量使得 frsb 不断地得到改进和完善,用户可以从...
Linux_web.rar_linux wEB_web服务器
09-14
常见的Linux Web服务器软件有Apache、Nginx和Lighttpd等。 1. **Apache HTTP Server**:Apache是最广泛使用的Web服务器,它提供了丰富的模块化设计,可以根据需求进行扩展。配置Apache通常涉及编辑`httpd.conf`或`...
lighttpd1.4.54源码及依赖库prce8.43源码
03-14
其中,lighttpd是一款广受欢迎的开源Web服务器,以其轻量、高效和灵活的特性,常被用于小型到中型的网站。本文将深入探讨lighttpd 1.4.54版本的源码及其依赖库Pcre8.43的编译与使用,帮助读者构建自己的Web服务器...
Web服务器案例
07-06
- **Lighttpd**:轻量级的Web服务器,适合小型站点和资源有限的环境。 3. **服务器配置** 配置Web服务器涉及到设置虚拟主机、SSL证书、重定向规则、缓存策略等。例如,通过VirtualHosts配置Apache以托管多个网站...
服务器检查检测修复漏洞工具
02-15
服务器安全工具 v0.8 1.目前该工具只作为辅助查找,站长可自行添加正则表达式。 2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。 3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。 4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。 5.开关机时间检查,可发现非正常关机事件 6.映像劫持管理,可查看、添加、删除现有映像劫持列表 7.数字签名验证可用于文件校验发现未签名的非系统文件 8.下载地址转换方便用户下载其他下载软件的专用链(支持迅雷/快车/旋风) 9.系统登陆时间检查功能可方便用户检查非工作时间段的非法登陆
常见的解析漏洞总结
m0_51428325的博客
11-16 423
一、解析漏洞 解析漏洞指的是服务器应用程序在解析某些精心构造的后缀文件时,会将其解析成网页脚本,从而导致网站的沦陷。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。 二、常见的解析漏洞 1、IIS5.x-6.x解析漏洞 使用 IIS5.x-6.x 版本服务器,大多为Windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,不能解析aspx文件。 目录解析漏洞 IIS6.0中的目录解析漏洞,如果网站目录中有一个 *.asp/ 的文
漏洞修复系列:一些服务器常见漏洞的修复方法
最新发布
weixin_54626591的博客
04-02 792
一些服务器常见漏洞的修复方法
host头部注入漏洞--中危
qq_44504968的博客
03-23 2764
host头部注入漏洞--中危漏洞原理漏洞知识扩展漏洞验证情况一情况二修复方案 漏洞原理 为了方便获取网站域名,开发人员一般依赖于请求包中的Host首部字段。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个Host字段值是不可信赖的(可通过HTTP代理工具篡改),如果应用程序没有对Host字段值进行处理,就有可能造成恶意代码的传入。 漏洞知识扩展 Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。 运用虚拟主机技术,单个主机可
OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH_9.2p1版本升级(CentOS7系统)
jieyongquan的博客
03-13 1925
1、安装相关依赖包有些服务器无法连接外网,依赖包要离线安装。
windows服务器系统漏洞的处理
wyqwilliam的博客
09-02 1657
原处理方式 受影响主机 10.206.211.25;点击查看详情; 详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 解决办法 临时解决方法: SSL/TLS -------- 1、禁止apache服务器使用RC4加密算法 vi /etc/httpd/conf.d/ssl..
lighttpd 之十二 网络请求服务响应流程
caofengtao1314的专栏
12-24 9667
10.1 概述        熟悉UNIX/Linux网络编程的读者知道,在编写网络通信程序的时候离不开这几个系统调用:如socket()、bind()、listen()、connect()、accept()、write()/read()、close()等。作为Web服务器网络应用程序,Lighttpd当然也毫不例外地要调用这些系统函数来接受客户端请求,提供资源服务。在第8章里,我们跳过了监听描...
linux系统漏洞修复2019,Linux中 OpenSSH 输入验证错误漏洞(CVE-2019-16905) 修复解决方案...
weixin_39935388的博客
05-16 2601
解决方案:redhat6、7与centos6、7版本升级到openssh8.1版本与openssl-1.1.1自动化脚本,解决linuxOpenSSH输入验证错误漏洞(CVE-2019-16905)解决步骤:1、附件2、解压升级包tar --no-same-owner -zxvf zlib-1.2.11.tar.gztar --no-same-owner -zxvf openssh-8.3p1.t...
常见的安全扫描漏洞的工具、漏洞分类及处理
qq_41831448的博客
06-06 9019
1.1. Unix/Linux漏洞 升级相应产商的系统版本或查找对应漏洞的补丁文件1.2. OpenSSH漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2021-28041) 修复建议: 一般也是升级相应的OpenSSH版本1.3Nginx漏洞 1.3.1导致拒绝服务漏洞 HTTP/2是超文本传输协议的第二版,主要用于保证客户机与服务器之间的通信。HTTP/2中存在资源管理错误漏洞。攻击
CVE-2019-15107 Webmin 远程命令执行漏洞
星落的博客
04-21 498
漏洞介绍 Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码。 影响版本 Webmin<=1.920
lighttpd 版本信息
10-03
要查看lighttpd版本信息,可以使用命令行工具来进行操作。具体步骤如下: 1. 打开命令行工具。在Windows系统中,可以按下Win键加R键,然后输入"cmd",并点击“确定”打开命令提示符。在Linux或Mac系统中,可直接搜索“终端”打开命令行终端。 2. 输入以下命令来查看lighttpd版本信息: ```bash lighttpd -v ``` 3. 按下回车键执行命令,系统将会返回lighttpd版本号信息。 另外,如果你在lighttpd的配置文件中开启了状态监控模块(mod_status),你可以通过浏览器来查看版本信息。具体步骤如下: 1. 在你的浏览器中输入服务器的IP地址或域名,后面加上"/server-status",例如:"http://your.server.ip/server-status"。 2. 如果配置正确,并且服务器已经启动了状态监控模块,你将会看到一个网页,其中包含了详细的服务器状态信息,包括版本号。 请注意,在上述步骤中,你需要替换成你自己的服务器IP地址或域名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值