製品・ソフトウェアに関する情報

JVN脆弱性詳細

lighttpd におけるデータを変更される脆弱性

タイトル	lighttpd におけるデータを変更される脆弱性
概要	lighttpd は、URL の解読を実行する前に (1) url.redirect および (2) url.rewrite 設定パターンに対する URI を比較するため、アクセス制限を回避される、重要な情報を取得される、またはデータを変更される脆弱性が存在します。
想定される影響	第三者により、アクセス制限を回避される、重要な情報を取得される、またはデータを変更される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2008年10月3日0:00
登録日	2012年9月25日17:17
最終更新日	2012年9月25日17:17

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

LIGHTTPD

lighttpd 1.4.20 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-4359	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-4359
National Vulnerability Database (NVD)
2	CVE-2008-4359	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-4359

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html

ベンダー情報

No	名前	URL
Lighttpd
1	Bypass rewrite/redirect rules with encoded urls	http://www.lighttpd.net/security/lighttpd_sa_2008_05.txt

変更履歴

No	変更内容	変更日
0	[2012年09月25日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2008-4359

概要	lighttpd before 1.4.20 compares URIs to patterns in the (1) url.redirect and (2) url.rewrite configuration settings before performing URL decoding, which might allow remote attackers to bypass intended access restrictions, and obtain sensitive information or possibly modify data.
公表日	2008年10月4日2:41
登録日	2021年1月29日13:43
最終更新日	2018年11月30日0:46

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:lighttpd:lighttpd::::::::					1.4.20

構成2		以上	以下	より上	未満
cpe:2.3:o:debian:debian_linux:4.0:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00002.html	SUSE	Third Party Advisory
2	http://openwall.com/lists/oss-security/2008/09/30/1	MLIST	Mailing List
3	http://openwall.com/lists/oss-security/2008/09/30/2	MLIST	Mailing List
4	http://openwall.com/lists/oss-security/2008/09/30/3	MLIST	Mailing List
5	http://secunia.com/advisories/32069	SECUNIA	Third Party Advisory
6	http://secunia.com/advisories/32132	SECUNIA	Third Party Advisory
7	http://secunia.com/advisories/32480	SECUNIA	Third Party Advisory
8	http://secunia.com/advisories/32834	SECUNIA	Third Party Advisory
9	http://secunia.com/advisories/32972	SECUNIA	Third Party Advisory
10	http://security.gentoo.org/glsa/glsa-200812-04.xml	GENTOO	Third Party Advisory
11	http://trac.lighttpd.net/trac/changeset/2278	CONFIRM	Broken Link Vendor Advisory
12	http://trac.lighttpd.net/trac/changeset/2307	CONFIRM	Broken Link Vendor Advisory
13	http://trac.lighttpd.net/trac/changeset/2309	CONFIRM	Broken Link Vendor Advisory
14	http://trac.lighttpd.net/trac/changeset/2310	CONFIRM	Broken Link Vendor Advisory
15	http://trac.lighttpd.net/trac/ticket/1720	CONFIRM	Vendor Advisory
16	http://wiki.rpath.com/Advisories:rPSA-2008-0309	CONFIRM	Third Party Advisory
17	http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0309	CONFIRM	Third Party Advisory
18	http://www.debian.org/security/2008/dsa-1645	DEBIAN	Third Party Advisory
19	http://www.lighttpd.net/security/lighttpd_sa_2008_05.txt	CONFIRM	Vendor Advisory
20	http://www.lighttpd.net/security/lighttpd-1.4.x_rewrite_redirect_decode_url.patch	CONFIRM	Patch Vendor Advisory
21	http://www.securityfocus.com/archive/1/497932/100/0/threaded	BUGTRAQ	Third Party Advisory VDB Entry
22	http://www.securityfocus.com/bid/31599	BID	Third Party Advisory VDB Entry
23	http://www.vupen.com/english/advisories/2008/2741	VUPEN	Third Party Advisory
24	https://exchange.xforce.ibmcloud.com/vulnerabilities/45690	XF	Third Party Advisory VDB Entry

共通脆弱性一覧