Расширенный

Получение исходного кода сценариев (Lighttpd)

Получение исходного кода сценариев (Lighttpd)

29 августа 2012
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
lighttpd (Win32 - 1.4.0, Win32 - 1.4.10)
Описание
<b>Краткое описание</b>

Уязвимость позволяет злоумышленнику просмотреть исходный код любых сценариев доступных через HTTP сервис.


<b>Подробное описание</b>

Уязвимость существует из-за ошибки при обработке URI строки содержащей имя файла или сценария с некорректным расширением. Удаленный злоумышленник может с помощью специально сформированного URL, содержащего символы точки и пробела просмотреть содержимое любого файла (сценария) доступного через HTTP сервис (например, исходный код JSP или PHP сценариев). В дальнейшем полученная информация может быть использована для реализации других атак.


<b>Уязвимые версии</b>

Lighttpd for Windows версии 1.4.10 и предыдущие


<b>Использование уязвимости</b>

Использование уязвимости удаленно: да
Использование уязвимости локально: нет


<b>Ложные срабатывания (False Positives)</b>

Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости.


<b>Пропуск уязвимости (False Negatives)</b>

Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию приложения Lighttpd, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.lighttpd.net/
Ссылки