PT-2022-4993 · Lighttpd+4 · Mod Fastcgi+5

Publicado

2022-09-02

·

Atualizado

2024-06-15

·

CVE-2022-41556

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do lighttpd de 1.4.56 a 1.4.66
Descrição
Um vazamento de recursos no arquivo gw backend.c pode levar a uma negação de serviço (esgotamento de slots de conexão) após uma grande quantidade de comportamentos TCP anômalos por parte dos clientes. Isso está relacionado ao tratamento incorreto de RDHUP em determinadas situações de HTTP/1.1 chunked. O uso do mod fastcgi é afetado.
Recomendações
Para as versões 1.4.56 a 1.4.66, atualize para a versão 1.4.67 para resolver o problema.
Como solução temporária, considere restringir o uso do mod fastcgi até que um patch esteja disponível.

Exploit

Correção

DoS

Memory Leak

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401

Identificadores relacionados

ALT-PU-2022-2649
ALT-PU-2022-2735
ALT-PU-2022-2863
BDU:2022-06197
CVE-2022-41556
DSA-5243-1
MGASA-2022-0369
OESA-2022-1989
OPENSUSE-SU-2022:10140-1
OPENSUSE-SU-2024:12382-1
USN-5903-1

Produtos afetados

Alt Linux
Lighttpd
Linuxmint
Red Os
Ubuntu
Mod Fastcgi