JVNDB-2024-004335

lighttpd における解放済みメモリ使用 (use-after-free) の脆弱性

lighttpd は、 CPU 性能やメモリ容量が限られている低リソース環境向けの軽量な Web サーバーソフトウェアです。
VDOO の研究者によって、 lighttpd 1.4.50 およびそれ以前のバージョンの HTTP ヘッダー解析コードに解放済みメモリ使用 (use-after-free) の脆弱性が発見され、 2018 年 10 月リリースのバージョン 1.4.51 によって修正されました。 VDOO からは、この脆弱性の説明を含む記事が 2018 年 11 月に公開されています (Giving Back - Securing Open Source IoT Projects - VDOO ) 。
しかし、この脆弱性に対して CVE はアサインされていませんでした。
2024 年 4 月になって、この脆弱性が多くの製品にまだ存在していることを示す調査結果が Binarly や runZero から公表されました (lighttpd vulnerability unfixed since 2018 (Binarly) 、 How to find outdated lighttpd services (runZero)) 。
2024 年 6 月、この脆弱性に対して CVE-2018-25103 がアサインされました。

LIGHTTPD

• lighttpd 1.4.50 あるいはそれ以前のバージョンを実装した製品

CERT/CC VU#312260 の Vendor Information および References も参照してください。

細工された HTTP リクエストにより、 lighttpd がクラッシュさせられたりメモリ内容が漏えいしたりする可能性があります。

[パッチを適用する]
ベンダが提供する最新のパッチを適用してください。

[ワークアラウンドを実施する]
使用している製品のサポートがすでに終了している場合には、当該製品への接続を信頼できる範囲からのみに制限するとともに、代替製品への入れ替えを検討してください。

AMI

• AMI Security Advisory : AMI Security Advisory: OSS Vulnerability - MegaRAC SPX （AMI-SA-2024002）

LIGHTTPD

• Lighttpd : 1.4.51 (October 14, 2018)
• Lighttpd : lighttpd/lighttpd1.4@df8e4f9: [core,security] process headers after combining folded headers

1. CVE-2018-25103

1. JVN : JVNVU#97186853
2. US-CERT Vulnerability Note : Use-after-free vulnerability in lighttpd version 1.4.50 and earlier
3. 関連文書 : How to find outdated lighttpd services
4. 関連文書 : lighttpd vulnerability unfixed since 2018
5. 関連文書 : Giving Back - Securing Open Source IoT Projects

• [2024年07月18日]
    掲載