VU#312260: lighttpd 버전 1.4.50 ... 노트

VU#312260: lighttpd 버전 1.4.50 이하에서 발생하는 use-after-free 취약점

Lighttpd 1.4.50 버전 이전 버전에서 사용 후 해제 취약점이 발견되어 원격 공격자가 서버를 다운시키거나 민감한 데이터에 대한 메모리 누출을 일으킬 수 있습니다. 2018년에 패치되었음에도 불구하고 CVE ID가 없어 많은 구현이 여전히 취약한 상태입니다. 이 취약점은 lighttpd를 사용하는 IoT 및 펌웨어 환경에 영향을 미칩니다. Binarly는 지속적인 악용을 발견하여 CVE-2018-25103를 할당했습니다. 영향은 제품별로 lighttpd 구현 방식에 따라 다릅니다. 공격자는 서버를 다운시키거나 민감한 데이터에 대한 메모리 누출을 일으킬 수 있습니다. CERT/CC는 공급업체 패치 적용, lighttpd에 대한 네트워크 액세스 제한 또는 취약한 하드웨어/소프트웨어 교체를 권장합니다. 이 공개 및 확산 노력에 협조해주신 Binarly, VDOO, lighttpd, AMI에 특별히 감사드립니다.