Вышел релиз легковесного http-сервера lighttpd 1.4.35. Выпуск носит корректирующий характер и содержит около 20 изменений. Отдельно отмечается устранение уязвимости, которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка «Host:» (например, «Host: [::1]’ UNION SELECT ‘/») из-за некорректной проверки IPv6 адресов.
Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании «..» в пути, но проявляется только при наличии директорий с символами » [ ] «, что делает уязвимость неприменимой на практике.
Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.
Больше статей
Blender подвергается мощным DDoS-атакам: Как разработчики справляются с вызовом
Уязвимость BleedingPipe в модах для Minecraft может привести к запуску вредоносных команд на серверах и клиентах
Специалисты из Akamai выявили существование нового ботнета Dark Frost