VU#312260: Уязвимость использования после освобождения памяти в lighttpd версии 1.4.50 и более ранних
Версии Lighttpd 1.4.50 и более ранние содержат уязвимость типа "использование после освобождения", которая позволяет злоумышленникам удаленно вывести сервер из строя или вывести память для доступа к конфиденциальным данным. Несмотря на то, что уязвимость была исправлена в 2018 году, многие реализации остаются уязвимыми из-за отсутствия идентификатора CVE. Уязвимость затрагивает среды IoT и встроенного ПО, использующие Lighttpd. Компания Binarly обнаружила постоянную эксплуатацию, что привело к присвоению CVE-2018-25103. Влияние различается в зависимости от реализации Lighttpd в разных продуктах. Злоумышленники могут вывести сервер из строя или вывести память для доступа к конфиденциальным данным. CERT/CC рекомендует устанавливать исправления от поставщиков, ограничивать сетевой доступ к Lighttpd или заменить уязвимое оборудование/программное обеспечение. Особая благодарность компании Binarly, VDOO, Lighttpd и AMI за их сотрудничество в этой работе по раскрытию информации и распространению информации.