Vulnerabilidad en la función connection_state_machine (connections.c) en lighttpd (CVE-2008-1531)
Gravedad CVSS v2.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/03/2008
Última modificación:
09/04/2025
Descripción
La función connection_state_machine (connections.c) en lighttpd versión 1.4.19 y anteriores, y versión 1.5.x anterior a 1.5.0, permite a los atacantes remotos generar una denegación de servicio (pérdida de conexión SSL activa) al activar un error SSL, como desconectarse antes que una descarga ha finalizado, lo que hace que todas las conexiones SSL activas se pierdan.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lighttpd:lighttpd:*:*:*:*:*:*:*:* | 1.4.19 (incluyendo) | |
| cpe:2.3:a:lighttpd:lighttpd:*:*:*:*:*:*:*:* | 1.5 (incluyendo) | 1.5.0 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2008-05/msg00000.html
- http://secunia.com/advisories/29505
- http://secunia.com/advisories/29544
- http://secunia.com/advisories/29636
- http://secunia.com/advisories/29649
- http://secunia.com/advisories/30023
- http://security.gentoo.org/glsa/glsa-200804-08.xml
- http://trac.lighttpd.net/trac/changeset/2136
- http://trac.lighttpd.net/trac/changeset/2139
- http://trac.lighttpd.net/trac/changeset/2140
- http://trac.lighttpd.net/trac/ticket/285#comment:18
- http://trac.lighttpd.net/trac/ticket/285#comment:21
- http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0132
- http://www.debian.org/security/2008/dsa-1540
- http://www.osvdb.org/43788
- http://www.securityfocus.com/archive/1/490323/100/0/threaded
- http://www.securityfocus.com/bid/28489
- http://www.vupen.com/english/advisories/2008/1063/references
- https://bugs.gentoo.org/show_bug.cgi?id=214892
- https://exchange.xforce.ibmcloud.com/vulnerabilities/41545
- https://issues.rpath.com/browse/RPL-2407
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00562.html
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00587.html
- http://lists.opensuse.org/opensuse-security-announce/2008-05/msg00000.html
- http://secunia.com/advisories/29505
- http://secunia.com/advisories/29544
- http://secunia.com/advisories/29636
- http://secunia.com/advisories/29649
- http://secunia.com/advisories/30023
- http://security.gentoo.org/glsa/glsa-200804-08.xml
- http://trac.lighttpd.net/trac/changeset/2136
- http://trac.lighttpd.net/trac/changeset/2139
- http://trac.lighttpd.net/trac/changeset/2140
- http://trac.lighttpd.net/trac/ticket/285#comment:18
- http://trac.lighttpd.net/trac/ticket/285#comment:21
- http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0132
- http://www.debian.org/security/2008/dsa-1540
- http://www.osvdb.org/43788
- http://www.securityfocus.com/archive/1/490323/100/0/threaded
- http://www.securityfocus.com/bid/28489
- http://www.vupen.com/english/advisories/2008/1063/references
- https://bugs.gentoo.org/show_bug.cgi?id=214892
- https://exchange.xforce.ibmcloud.com/vulnerabilities/41545
- https://issues.rpath.com/browse/RPL-2407
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00562.html
- https://www.redhat.com/archives/fedora-package-announce/2008-April/msg00587.html