Vulnerabilità: CVE-2007-4727

Buffer overflow nella funzione fcgi_env_add in mod_proxy_backend_fastcgi.c nell’estensione mod_fastcgi in lighttpd prima 1.4.18 permette attaccanti remoti di sovrascrivere variabili CGI arbitrarie ed eseguire codice arbitrario tramite una richiesta HTTP con una lunghezza contenuto, come dimostrato sovrascrivendo la variabile SCRIPT_FILENAME, aka un ""troppo pieno colpo di testa.""


http://www.securityfocus.com/bid/25622
http://www.securityfocus.com/archive/1/479763/100/0/threaded
http://trac.lighttpd.net/trac/changeset/1986
http://www.lighttpd.net/assets/2007/9/9/lighttpd_sa_2007_12.txt
https://issues.rpath.com/browse/RPL-1715
http://fedoranews.org/updates/FEDORA-2007-213.shtml
http://www.gentoo.org/security/en/glsa/glsa-200709-16.xml
http://secweb.se/en/advisories/lighttpd-fastcgi-remote-vulnerability/
https://bugzilla.redhat.com/show_bug.cgi?id=284511
http://secunia.com/advisories/26732
http://secunia.com/advisories/26794
http://secunia.com/advisories/26824
http://secunia.com/advisories/26997
http://secunia.com/advisories/27229
http://securityreason.com/securityalert/3127
http://www.novell.com/linux/security/advisories/2007_20_sr.html
http://www.vupen.com/english/advisories/2007/3110
https://exchange.xforce.ibmcloud.com/vulnerabilities/36526
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4727


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi