Ein Buffer Overflow im mod_fastcgi-Modul des schlanken Open-Source-Webservers lighttpd gefährdet in Zusammenhang mit PHP die Sicherheit von Installationen. Angreifer können durch das Senden manipulierter Header an den Server eigenen Code einschleusen und mit den Rechten von lighttpd ausführen. Ursache des Problems ist die fehlende Prüfung der Länge des FastCGI-Headers beim Einlesen der empfangenen Header und der anschließenden Übergabe an PHP. Betroffen sind alle Versionen bis einschließlich 1.4.17. In Version 1.4.18 ist der Fehler behoben. Ein Patch steht ebenfalls zum Download bereit.
Kompletter Artikel auf heise online.
Quelle : heise online
Kompletter Artikel auf heise online.
Quelle : heise online