lighttpd存在多个目录遍历漏洞

admin

0
文章

0
评论

2023-12-07 06:20:13 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 lighttpd存在多个目录遍历漏洞

CVE编号

CVE-2014-2324

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2014-03-15

漏洞描述

lighttpd是一款HTTP服务程序。 lighttpd mod_simple_vhost_docroot函数(mod_simple_vhost.c)和mod_evhost_parse_host函数(mod_evhost.c)存在目录遍历漏洞，允许远程攻击者利用漏洞获取系统本地文件内容。

解决建议

lighttpd 1.4.35已经修复该漏洞，建议用户下载更新：http://www.lighttpd.net/

参考链接
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt
http://jvn.jp/en/jp/JVN37417423/index.html
http://lists.opensuse.org/opensuse-security-announce/2014-03/msg00023.html
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00002.html
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00006.html
http://marc.info/?l=bugtraq&m=141576815022399&w=2
http://seclists.org/oss-sec/2014/q1/561
http://seclists.org/oss-sec/2014/q1/564
http://secunia.com/advisories/57404
http://secunia.com/advisories/57514
http://www.debian.org/security/2014/dsa-2877
http://www.lighttpd.net/2014/3/12/1.4.35/
http://www.securityfocus.com/bid/66157

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	lighttpd	lighttpd	*		Up to (including) 1.4.34
	运行在以下环境
	应用	lighttpd	lighttpd	1.3.16	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.10	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.11	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.12	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.13	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.14	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.15	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.16	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.17	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.18	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.19	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.20	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.21	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.22	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.23	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.24	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.25	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.26	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.27	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.28	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.29	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.3	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.30	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.31	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.32	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.33	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.4	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.5	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.6	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.7	-
	运行在以下环境
应用	lighttpd	lighttpd	1.4.8	-
运行在以下环境
应用	lighttpd	lighttpd	1.4.9	-
运行在以下环境
系统	amazon_AMI	lighttpd	*		Up to (excluding) 1.4.35-1.9.amzn1
运行在以下环境
系统	debian	DPKG	*		Up to (excluding) 1.4.33-1+nmu3
运行在以下环境
系统	debian_10	lighttpd	*		Up to (excluding) 1.4.33-1+nmu3
运行在以下环境
系统	debian_11	lighttpd	*		Up to (excluding) 1.4.33-1+nmu3
运行在以下环境
系统	debian_12	lighttpd	*		Up to (excluding) 1.4.33-1+nmu3
运行在以下环境
系统	debian_6	lighttpd	*		Up to (excluding) 1.4.28-2+squeeze1.6
运行在以下环境
系统	debian_7	lighttpd	*		Up to (excluding) 1.4.31-4+deb7u3
运行在以下环境
系统	debian_sid	lighttpd	*		Up to (excluding) 1.4.33-1+nmu3
运行在以下环境
系统	fedora_EPEL_5	lighttpd	*		Up to (excluding) 1.4.35-1.el5
运行在以下环境
系统	fedora_EPEL_6	lighttpd	*		Up to (excluding) 1.4.35-1.el6
运行在以下环境
系统	opensuse_11.4	lighttpd-mod_webdav	*		Up to (excluding) 1.4.35-41.1
运行在以下环境
系统	opensuse_12.3	lighttpd-mod_webdav	*		Up to (excluding) 1.4.35-6.9.1
运行在以下环境
系统	opensuse_13.1	lighttpd-mod_webdav	*		Up to (excluding) 1.4.35-2.9.1
运行在以下环境
系统	ubuntu_14.04	lighttpd	*		Up to (excluding) 1.4.33-1+nmu2ubuntu2.1
运行在以下环境
系统	ubuntu_14.04.6_lts	lighttpd	*		Up to (excluding) 1.4.33-1+nmu2ubuntu2.1
运行在以下环境
系统	ubuntu_16.04.7_lts	lighttpd	*		Up to (excluding) 1.4.35-1ubuntu1
运行在以下环境
系统	ubuntu_18.04.5_lts	lighttpd	*		Up to (excluding) 1.4.35-1ubuntu1
运行在以下环境
系统	ubuntu_18.10	lighttpd	*		Up to (excluding) 1.4.35-1ubuntu1