Вышел релиз легковесного http-сервера lighttpd 1.4.35. Выпуск носит корректирующий характер и содержит около 20 изменений. Отдельно отмечается устранение уязвимости, которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка «Host:» (например, «Host: [::1]’ UNION SELECT ‘/») из-за некорректной проверки IPv6 адресов.
Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании «..» в пути, но проявляется только при наличии директорий с символами » [ ] «, что делает уязвимость неприменимой на практике.
Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.
Больше статей
Плагин для онлайн курсов LearnPress на WordPress потенциально уязвим
Специалисты по кибербезопасности BitSight обнаружили серию критических уязвимостей в популярном GPS-трекере
Анонсирован первый SSD диск на российском контроллере Kraftway К1942ВК018