Информационная безопасность / Критическая уязвимость в lighttpd, DoS
С официального сайта
Security Announce: slow request DoS/OOM attack
February 1st, 2010
Li Ming reported a serious bug in lighttpd:
If you send the request data very slow (e.g. sleep 0.01 after each byte), lighttpd will easily use all available memory and die (especially for parallel requests), allowing a DoS within minutes.
As far as we know all versions are affected.
Перевод
Если посылать данные с большими промежутками (например, делать паузу в 0.01 секунды после каждого байта), то Лайти начнет использовать всю доступную память и завалится (особенно в случае параллельных запросов), это позволяет организовать отказ в обслуживании в течение нескольких минут.
Насколько известно разработчикам, все версии сервера содержат баг.
ссылка на баг в трекере и патч
Пререлиз 1.4.26 c исправлением (via eugeneorlov)
Исправление для Debian (via esten)
Будьте бдительны!
AD: