lighttpd 1.4.x 爆高危漏洞

cpuer · 发表于 2010-2-2 22:34:47

lighttpd(发音为lighty)是一套开放源代码的网页服务器,以BSD许可证放出.相较于其他的网页服务器,lighttpd仅需少量的内存及CPU资源即可达到同样的效能.今天lighttpd 张贴公告修复了一个已知的严重bug.可能会给 DoS/OOM 攻击以可乘之机.Li Ming （貌似是国人） reported a serious bug in lighttpd:

If you send the request data very slow (e.g. sleep 0.01 after each byte), lighttpd will easily use all available memory and die (especially for parallel requests), allowing a DoS within minutes.
See:
lighttpd_sa_2010_01.txt (安全公告内文)
Bug #2147

The bug is tracked as CVE-2010-0295.

As far as we know all versions are affected.

该漏洞影响1.4.26以下和 r2710 之前的所有lighttpd版本.如果你正在使用的话，

可以选择patch 修复.

补丁下载：

http://download.lighttpd.net/lig ... w_request_dos.patch (适用于1.4.x)
http://download.lighttpd.net/lig ... w_request_dos.patch (适用于1.5.x)

woshigaozhen · 发表于 2010-2-2 22:38:13

这个太恐怖了啊!

helps · 发表于 2010-2-2 22:39:06

下载了，什么命令更新？

wzwen · 发表于 2010-2-2 22:41:17

幸好没用这个

7657573 · 发表于 2010-2-2 22:51:22

提示: 作者被禁止或删除内容自动屏蔽

咯拉无米 · 发表于 2010-2-2 22:57:24

只要用了nginx的
哪怕是和我一样的菜鸟也不会去弄apache和lighttpd

Administrator · 发表于 2010-2-2 23:05:02

提示: 作者被禁止或删除内容自动屏蔽

pcboy128 · 发表于 2010-2-2 23:14:47

悲剧的用了kloxo 汗阿

kok · 发表于 2010-2-2 23:23:24

KLOXO LIGHTTPD 如何打补丁期待高人写个菜鸟教程

[ 本帖最后由 kok 于 2010-2-2 23:28 编辑 ]

cpuer · 发表于 2010-2-3 00:12:31

先看下lighttpd版本

		自动登录	找回密码
密码			注册

7657573 7657573 当前离线积分 222	5^# 发表于 2010-2-2 22:51:22 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
7657573 7657573 当前离线积分 222
	回复支持反对举报

Administrator Administrator 当前离线积分 7423	7^# 发表于 2010-2-2 23:05:02 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
Administrator Administrator 当前离线积分 7423
	回复支持反对举报

lighttpd 1.4.x 爆高危漏洞

评分

回复 9# 的帖子