VU#312260: lighttpdバージョン1.4.50以前におけるuse-after-free脆弱性
Lighttpdバージョン1.4.50以前には、リモート攻撃者がサーバーをクラッシュさせたり、機密データアクセスのためのメモリリークを引き起こしたりできる、use-after-freeの脆弱性があります。2018年に修正されましたが、CVE IDがないため、多くの実装では脆弱な状態が続いています。この脆弱性は、lighttpdを使用するIoTやファームウェア環境に影響を与えます。Binarlyは、永続的な悪用を発見し、CVE-2018-25103を割り当てました。影響は、lighttpdが異なる製品でどのように実装されているかによって異なります。攻撃者は、サーバーをクラッシュさせたり、機密データアクセスのためのメモリリークを引き起こしたりできます。CERT/CCは、ベンダーのパッチを適用すること、lighttpdへのネットワークアクセスを制限すること、または脆弱なハードウェア/ソフトウェアを置き換えることを推奨します。この開示とアウトリーチの取り組みへの協力に、Binarly、VDOO、lighttpd、およびAMIに感謝申し上げます。