VU#312260 : Faille de type « utilisation après libération » dans lighttpd version 1.4.50 et antérieures
Les versions de Lighttpd 1.4.50 et antérieures présentent une vulnérabilité de type "use-after-free" qui permet aux attaquants distants de provoquer un crash du serveur ou de provoquer une fuite de mémoire pour accéder à des données sensibles. Bien que corrigée en 2018, de nombreuses implémentations restent vulnérables en raison de l'absence d'ID CVE. La vulnérabilité affecte les environnements IoT et les firmwares utilisant Lighttpd. Binarly a découvert une exploitation persistante, conduisant à l'attribution de CVE-2018-25103. L'impact varie selon l'implémentation de Lighttpd dans différents produits. Les attaquants peuvent provoquer un crash du serveur ou une fuite de mémoire pour accéder à des données sensibles. Le CERT/CC recommande d'appliquer les correctifs des fournisseurs, de limiter l'accès réseau à Lighttpd, ou de remplacer le matériel/logiciel vulnérable. Un grand merci à Binarly, VDOO, Lighttpd et AMI pour leur coopération dans cette divulgation et cet effort de sensibilisation.