製品・ソフトウェアに関する情報

JVN脆弱性詳細

lighttpd の connections.c におけるサービス運用妨害 (DoS) の脆弱性

タイトル	lighttpd の connections.c におけるサービス運用妨害 (DoS) の脆弱性
概要	lighttpd の connection_state_machine 関数 (connections.c) は、サービス運用妨害 (アクティブ SSL 接続の損失) 状態となる脆弱性が存在します。
想定される影響	第三者により、ダウンロード終了前に切断するなどの SSL エラーが誘発され、アクティブな全 SSL 接続が損失する状態となり、サービス運用妨害 (アクティブ SSL 接続の損失) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年3月27日0:00
登録日	2012年9月25日17:16
最終更新日	2012年9月25日17:16

CVSS2.0 : 警告
スコア	4.3
ベクター	AV:N/AC:M/Au:N/C:N/I:N/A:P

影響を受けるシステム

LIGHTTPD

lighttpd 1.4.19 およびそれ以前、1.5.0 未満の 1.5.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-1531	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1531
National Vulnerability Database (NVD)
2	CVE-2008-1531	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-1531

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-DesignError	https://www.ipa.go.jp/security/vuln/CWE.html#CWEDesignError

ベンダー情報

No	名前	URL
Redmine
1	Bug 285	http://redmine.lighttpd.net/issues/285#comment:21

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-1531

概要	The connection_state_machine function (connections.c) in lighttpd 1.4.19 and earlier, and 1.5.x before 1.5.0, allows remote attackers to cause a denial of service (active SSL connection loss) by triggering an SSL error, such as disconnecting before a download has finished, which causes all active SSL connections to be lost.
概要	La función connection_state_machine (connections.c) en lighttpd versión 1.4.19 y anteriores, y versión 1.5.x anterior a 1.5.0, permite a los atacantes remotos generar una denegación de servicio (pérdida de conexión SSL activa) al activar un error SSL, como desconectarse antes que una descarga ha finalizado, lo que hace que todas las conexiones SSL activas se pierdan.
公表日	2008年3月28日8:44
登録日	2021年1月29日13:34
最終更新日	2026年4月23日9:35

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:lighttpd:lighttpd::::::::		1.4.19
cpe:2.3:a:lighttpd:lighttpd::::::::	1.5			1.5.0
cpe:2.3:o:debian:debian_linux:4.0:::::::*

関連情報、対策とツール

No	URL	refsource
1	http://lists.opensuse.org/opensuse-security-announce/2008-05/msg00000.html	cve@mitre.org
2	http://secunia.com/advisories/29505	cve@mitre.org
3	http://secunia.com/advisories/29544	cve@mitre.org
4	http://secunia.com/advisories/29636	cve@mitre.org
5	http://secunia.com/advisories/29649	cve@mitre.org
6	http://secunia.com/advisories/30023	cve@mitre.org
7	http://security.gentoo.org/glsa/glsa-200804-08.xml	cve@mitre.org
8	http://trac.lighttpd.net/trac/changeset/2136	cve@mitre.org
9	http://trac.lighttpd.net/trac/changeset/2139	cve@mitre.org
10	http://trac.lighttpd.net/trac/changeset/2140	cve@mitre.org
11	http://trac.lighttpd.net/trac/ticket/285#comment:18	cve@mitre.org
12	http://trac.lighttpd.net/trac/ticket/285#comment:21	cve@mitre.org
13	http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0132	cve@mitre.org
14	http://www.debian.org/security/2008/dsa-1540	cve@mitre.org
15	http://www.osvdb.org/43788	cve@mitre.org
16	http://www.securityfocus.com/archive/1/490323/100/0/threaded	cve@mitre.org
17	http://www.securityfocus.com/bid/28489	cve@mitre.org
18	http://www.vupen.com/english/advisories/2008/1063/references	cve@mitre.org
19	https://bugs.gentoo.org/show_bug.cgi?id=214892	cve@mitre.org
20	https://exchange.xforce.ibmcloud.com/vulnerabilities/41545	cve@mitre.org
21	https://issues.rpath.com/browse/RPL-2407	cve@mitre.org
22	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00562.html	cve@mitre.org
23	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00587.html	cve@mitre.org
24	http://lists.opensuse.org/opensuse-security-announce/2008-05/msg00000.html	af854a3a-2127-422b-91ae-364da2661108
25	http://secunia.com/advisories/29505	af854a3a-2127-422b-91ae-364da2661108
26	http://secunia.com/advisories/29544	af854a3a-2127-422b-91ae-364da2661108
27	http://secunia.com/advisories/29636	af854a3a-2127-422b-91ae-364da2661108
28	http://secunia.com/advisories/29649	af854a3a-2127-422b-91ae-364da2661108
29	http://secunia.com/advisories/30023	af854a3a-2127-422b-91ae-364da2661108
30	http://security.gentoo.org/glsa/glsa-200804-08.xml	af854a3a-2127-422b-91ae-364da2661108
31	http://trac.lighttpd.net/trac/changeset/2136	af854a3a-2127-422b-91ae-364da2661108
32	http://trac.lighttpd.net/trac/changeset/2139	af854a3a-2127-422b-91ae-364da2661108
33	http://trac.lighttpd.net/trac/changeset/2140	af854a3a-2127-422b-91ae-364da2661108
34	http://trac.lighttpd.net/trac/ticket/285#comment:18	af854a3a-2127-422b-91ae-364da2661108
35	http://trac.lighttpd.net/trac/ticket/285#comment:21	af854a3a-2127-422b-91ae-364da2661108
36	http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0132	af854a3a-2127-422b-91ae-364da2661108
37	http://www.debian.org/security/2008/dsa-1540	af854a3a-2127-422b-91ae-364da2661108
38	http://www.osvdb.org/43788	af854a3a-2127-422b-91ae-364da2661108
39	http://www.securityfocus.com/archive/1/490323/100/0/threaded	af854a3a-2127-422b-91ae-364da2661108
40	http://www.securityfocus.com/bid/28489	af854a3a-2127-422b-91ae-364da2661108
41	http://www.vupen.com/english/advisories/2008/1063/references	af854a3a-2127-422b-91ae-364da2661108
42	https://bugs.gentoo.org/show_bug.cgi?id=214892	af854a3a-2127-422b-91ae-364da2661108
43	https://exchange.xforce.ibmcloud.com/vulnerabilities/41545	af854a3a-2127-422b-91ae-364da2661108
44	https://issues.rpath.com/browse/RPL-2407	af854a3a-2127-422b-91ae-364da2661108
45	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00562.html	af854a3a-2127-422b-91ae-364da2661108
46	https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00587.html	af854a3a-2127-422b-91ae-364da2661108

共通脆弱性一覧