CVE-2021-41615

GoAhead WebServer versão 2.1.8

O problema decorre da entropia insuficiente do nonce no arquivo websda.c do GoAhead WebServer. Isso ocorre porque o cálculo do nonce depende de um valor codificado, onceuponatimeinparadise, que não segue a diretriz de dados secretos para a Autenticação de Acesso HTTP Digest, conforme especificado na seção 3.3 da RFC 7616 (ou na seção 3.2.1 da RFC 2617). Embora a versão 2.1.8 seja de 2003, o código afetado aparece em vários trabalhos derivados que ainda podem estar em uso. O software GoAhead mais recente não é afetado.

Para o GoAhead WebServer versão 2.1.8, considere atualizar para uma versão mais recente em que essa falha tenha sido corrigida, já que o software GoAhead mais recente não é afetado. Se a atualização não for viável, uma possível solução temporária poderia envolver a modificação do cálculo do nonce para usar um valor secreto mais seguro, embora isso exija uma análise cuidadosa dos detalhes de implementação para garantir a conformidade com os padrões relevantes. No momento, não há informações sobre uma versão mais recente específica que contenha uma correção para essa vulnerabilidade.