Критическая уязвимость в Lighttpd FastCGI

Affected Products:
<= Lighttpd 1.4.17

...

# eix -e lighttpd
...
     Installed versions:  1.4.18

Так что проехали :)

У меня как раз 1.4.17 =/

А Саныч как всегда "забывает" сообщить о том, что ошибка уже как несколько дней назад исправлена..

$ curl -I reddit.com
HTTP/1.1 200 OK
Connection: close
Status: 200 OK
Content-Type: text/html; charset=utf-8
Vary: Accept-Encoding, Cookie
Set-Cookie: reddit_first=first; Domain=reddit.com; expires=Sat, 05-Jan-2008 06:45:50 GMT; Path=/;
Content-Length: 36099
Date: Tue, 11 Sep 2007 12:59:36 GMT
Server: lighttpd/1.4.13

Кто хочет потестить эксплоит? :)

Ппц новости...
Давайте уж и Changelog`и обсуждать, раз на то пошло

[bobrik@bobrik] ~ $> gcc ex.c -o ex [bobrik@bobrik] ~ $> ./ex debwitch 80 /etc/passwd Ошибка сегментирования :D

p.s.: сорцы не разглядывал, особо некогда

такую бы уязвимость на apache2, а то забыл ssh сервак на тачке поднять а ее уже увезли :/

To avoid abuse there's a "remove me" in the code.

> Interested in a exploit for 1.4.17? Please contact us!

ой-ой-ой, страшно:(

а оно вообще дышит ?
в смысле Lighttpd ?
в смысле поддерживается ?

конечно. вообще мне он очень нравится

/me отставил паниковать, ибо понял что не использует FastCGI

Почему и нет? Используют его конечно. И поддерживают.

Дырявый люлипс сосед

/me не использует ПХП /me использует Питон спасибо. собрал новую.

хм... использую nginx, от lighttpd использую только spawn-fcgi, он то хоть ни при чем к новости?

что же ты им пускаешь этим spawn-fcgi ?
уже не пых пых ли ?

> уже не пых пых ли ?

агу, медиавики. еще смф, но его скоро заменю на свой лисапед))

зы: мойн-мойн не предлагать, не нравиццо...

К логопеду, быдло!

Lighttpd вообще оставляет неприятное впечатление после изучения исходного кода. Тем не менее, лемминги его любят.

Ubuntu там чтоли? У неё вроде эта версия в feisty.

А что можно поставить на замену? Желательно как можно более легковесное и с теми же фичами (WebDAV как минимум).

>как можно более легковесное и с теми же фичами (WebDAV как минимум).

посмотрите nginx, там все это есть.

Ессно поддерживается и довольно активно.Прикольный сервак вообще - на ерундовых ресурсах может весьма мощно серверствовать.Апачу до него по легковесности как раком до китая.Соответственно становится популярен - а потому тестится на дыры бОльшим числом глаз.

WebDAV как ни странно у лайта есть.А если завтра в выбранном вами сервере тоже дырку найдут вы и его менять будете? )))

На вкус и цвет знаете ли.Весьма достойный и фичастый сервер.Вы и такой врядли напишете, мистер эстет.Хотя если у вас есть бесплатный сервер с исходниками который лучше - что ж вы молчите?Давайте сюда, будет рулезом всех времен и народов.А так - из сравнимых есть nginx.Неплохая штука, но пока он не используется на нескольких миллионах хостов, говорить что-то про его дырявость - рановато.По скорости - примерно 1 фиг с лайтом.

> WebDAV как ни странно у лайта есть.А если завтра в выбранном вами сервере тоже дырку найдут вы и его менять будете? )))

Именно для того. чтобы вообще не менять никогда - есть смысл посмотреть на nginx: на моей памяти в нем за 3 года его существования не было ни одной security проблемы. Для нашего неспокойного мира это серьезный показатель.

>> уже не пых пых ли ?
>агу, медиавики. еще смф, но его скоро заменю на свой лисапед))
попробуй php-fpm, всяко по возможностям лучше :) правда пыхпых патчить нужно.

>> Именно для того. чтобы вообще не менять никогда - есть смысл посмотреть на nginx: на моей памяти в нем за 3 года его существования не было ни одной security проблемы. Для нашего неспокойного мира это серьезный показатель.

Было по меньшей мере 2: одна связанная с fastcgi как раз и X-Accel-Redirect, года полтора назад, и вторая, совсем недавно, что то весьма IE - специфическое, практически никем никогда неиспользуемое. Обе прошли незамеченными :)

>на моей памяти в нем за 3 года его существования не было ни одной security проблемы

Гы. lighttpd используется по netcraft на 1.21% серверов. Почти полтора миллиона только проверенных неткрафтом - http://news.netcraft.com/archives/2007/07/index.html

Можно узнать, сколько хостов юзает nginx?

Лучче б фастцги под винду починили. Ждём 1.5.

Ох уж эти не.нные мегакодеры... Мож это просто ваш код гавно, а?

>можно узнать, сколько хостов юзает nginx?

http://googleonlinesecurity.blogspot.com/2007/06/web-server-software-and-malw... 66% - Apache, 23% - IIS, 4% у nginx и еще 7% - остальные. так что - немало. ну и например Рамблер им активно пользуется на своих серверах.

Интересное, однако, противоречие в данных Гугля и Неткрафта.

это да.
Игорь Сысоев (автор nginx) писал, что немало удивлен тем, что у неткрафта nginx получил 0,19%, а у Гугла - все 4.
видимо как-то по-разному считают.

nginx наше всё. воркает и исть не просит ))

> Было по меньшей мере 2: одна связанная с fastcgi как раз и X-Accel-Redirect, года полтора назад

Это я ее и обнаружил, но там нельзя сказать что это security bug в nginx - для использования уязвимости были необходимы 1) специальный кривой php скрипт 2) php < 4.4.2, с непофиксеным "Prevent header injection by limiting each header to a single line" См http://www.php.net/ChangeLog-4.php

А что там в IE даже не помню.. Но раз проявлялось только с ним, вряд ли это проблема в nginx.

> Ох уж эти не.нные мегакодеры... Мож это просто ваш код гавно, а?

Сударь, мой код доступен для просмотра и использования всем желающим. Я готов принять любую конструктивную критику касательно его качества.

А в lighttpd - просто каша. Посмотрите для сравнения nginx, опять же. Там есть чему поучиться.

а где же ответ от "самого серверного" debian? дернул же меня черт связаться с этими тормозами!

> А в lighttpd - просто каша. Посмотрите для сравнения nginx, опять
же. Там есть чему поучиться.

Посмотрите код mathopd. Там есть чему поучиться даже nginx'у.
Кстати, реальная (ещё более лёгкая) альтернатива lighttpd.
Пуленепробиваемая вещь. Поставил и забыл. Фигни, типа WebDAV
нет, SSL через проксик.

>> Посмотрите код mathopd. Там есть чему поучиться даже nginx'у.
>> Кстати, реальная (ещё более лёгкая) альтернатива lighttpd.
>> Пуленепробиваемая вещь.
Естественно, смотрел. Именно с него, по совету an, перешли на nginx (он как раз появился ) - когда он перестал справляться с нагрузкой, и гибкости его конфигурации и возможностей перестало хватать.

> Посмотрите код mathopd. Там есть чему поучиться даже nginx'у. Кстати, реальная (ещё более лёгкая) альтернатива lighttpd. Пуленепробиваемая вещь. Поставил и забыл. Фигни, типа WebDAV нет, SSL через проксик.

Не говорите чушь. Эта поделка на 170 килобайт не умеет даже kqueue и epoll.

а почему раньше-то не обнаружили?
Если он light, то и кода должно быть немного?

btw, а он embedded systems (64K RAM) будет работать?

> >как можно более легковесное и с теми же фичами (WebDAV как минимум).

> посмотрите nginx, там все это есть.

Увы и ах но nginx не поддерживает WebDAV в полной мере (не реализована команда OPTIONS) из-за чего ни один вменяемый WebDAV клиент не может смонтировать/получить список файлов с шары. А у Сысоева никак руки не доходят это реализовать.

Давай где тестить !!!

>>btw, а он embedded systems (64K RAM) будет работать?

64K ??

Давно известно что lighthttpd дыряв как дуршлаг - кто его еще пользует?

> Давай где тестить !!!

Написано же, http://reddit.com. Ссылка на эксплоит в подробностях. ;)

в дефолтной убунте со включенным fastcgi работает,но обновление почти сразу появилось.

> 64K ??

sorry - 64KK :)