Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:N/A:N)
Производитель ПО
Наименование ПО
lighttpd
(Win32 - 1.4.0, Win32 - 1.4.10)
Описание
<b>Краткое описание</b>
Уязвимость позволяет злоумышленнику просмотреть исходный код любых сценариев доступных через HTTP сервис.
<b>Подробное описание</b>
Уязвимость существует из-за ошибки при обработке URI строки содержащей имя файла или сценария с некорректным расширением. Удаленный злоумышленник может с помощью специально сформированного URL, содержащего символы точки и пробела просмотреть содержимое любого файла (сценария) доступного через HTTP сервис (например, исходный код JSP или PHP сценариев). В дальнейшем полученная информация может быть использована для реализации других атак.
<b>Уязвимые версии</b>
Lighttpd for Windows версии 1.4.10 и предыдущие
<b>Использование уязвимости</b>
Использование уязвимости удаленно: да
Использование уязвимости локально: нет
<b>Ложные срабатывания (False Positives)</b>
Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости.
<b>Пропуск уязвимости (False Negatives)</b>
Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны.
Уязвимость позволяет злоумышленнику просмотреть исходный код любых сценариев доступных через HTTP сервис.
<b>Подробное описание</b>
Уязвимость существует из-за ошибки при обработке URI строки содержащей имя файла или сценария с некорректным расширением. Удаленный злоумышленник может с помощью специально сформированного URL, содержащего символы точки и пробела просмотреть содержимое любого файла (сценария) доступного через HTTP сервис (например, исходный код JSP или PHP сценариев). В дальнейшем полученная информация может быть использована для реализации других атак.
<b>Уязвимые версии</b>
Lighttpd for Windows версии 1.4.10 и предыдущие
<b>Использование уязвимости</b>
Использование уязвимости удаленно: да
Использование уязвимости локально: нет
<b>Ложные срабатывания (False Positives)</b>
Вывод о наличии уязвимости сделан на основе версии по результатам идентификации сервисов и приложений на сканируемом узле. Если при установке обновления номер версии не менялся, возможно ложное обнаружение уязвимости.
<b>Пропуск уязвимости (False Negatives)</b>
Случаев пропуска уязвимости зарегистрировано не было. Причины возможных пропусков неизвестны.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию приложения Lighttpd, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.lighttpd.net/
http://www.lighttpd.net/
Ссылки
Источник: CVE
Наименование: CVE-2006-0814
URL: CVE (CVE-2006-0814): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0814
Bugtraq (Bid 16893): http://www.securityfocus.com/bid/16893
Securitylab: http://www.securitylab.ru/vulnerability/263425.php
http://trac.lighttpd.net/trac/changeset/1005
Наименование: CVE-2006-0814
URL: CVE (CVE-2006-0814): http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0814
Bugtraq (Bid 16893): http://www.securityfocus.com/bid/16893
Securitylab: http://www.securitylab.ru/vulnerability/263425.php
http://trac.lighttpd.net/trac/changeset/1005
