Vulnerabilidad en mod_userdir de lighttpd (CVE-2008-4360)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
03/10/2008
Última modificación:
09/04/2025
Descripción
mod_userdir de lighttpd versiones anteriores a v1.4.20, cuando un sistema operativo insensible a mayúsculas o minúsculas o sistemas de ficheros son utilizados, realiza comparaciones entre mayúsculas y minúsculas en componentes de nombres de ficheros en las opciones de configuración, lo cual puede permitir a atacantes remotos evitar restricciones de acceso intencionadas, como lo demostrado por un fichero .PHP cuando hay una regla de configuración de ficheros .php.
Impacto
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lighttpd:lighttpd:*:*:*:*:*:*:*:* | 1.4.20 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00002.html
- http://openwall.com/lists/oss-security/2008/09/30/1
- http://openwall.com/lists/oss-security/2008/09/30/2
- http://openwall.com/lists/oss-security/2008/09/30/3
- http://secunia.com/advisories/32069
- http://secunia.com/advisories/32132
- http://secunia.com/advisories/32480
- http://secunia.com/advisories/32834
- http://secunia.com/advisories/32972
- http://security.gentoo.org/glsa/glsa-200812-04.xml
- http://trac.lighttpd.net/trac/changeset/2283
- http://trac.lighttpd.net/trac/changeset/2308
- http://trac.lighttpd.net/trac/ticket/1589
- http://wiki.rpath.com/Advisories:rPSA-2008-0309
- http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0309
- http://www.debian.org/security/2008/dsa-1645
- http://www.lighttpd.net/security/lighttpd-1.4.x_userdir_lowercase.patch
- http://www.lighttpd.net/security/lighttpd_sa_2008_06.txt
- http://www.securityfocus.com/archive/1/497932/100/0/threaded
- http://www.securityfocus.com/bid/31600
- http://www.vupen.com/english/advisories/2008/2741
- https://exchange.xforce.ibmcloud.com/vulnerabilities/45689
- http://lists.opensuse.org/opensuse-security-announce/2008-11/msg00002.html
- http://openwall.com/lists/oss-security/2008/09/30/1
- http://openwall.com/lists/oss-security/2008/09/30/2
- http://openwall.com/lists/oss-security/2008/09/30/3
- http://secunia.com/advisories/32069
- http://secunia.com/advisories/32132
- http://secunia.com/advisories/32480
- http://secunia.com/advisories/32834
- http://secunia.com/advisories/32972
- http://security.gentoo.org/glsa/glsa-200812-04.xml
- http://trac.lighttpd.net/trac/changeset/2283
- http://trac.lighttpd.net/trac/changeset/2308
- http://trac.lighttpd.net/trac/ticket/1589
- http://wiki.rpath.com/Advisories:rPSA-2008-0309
- http://wiki.rpath.com/wiki/Advisories:rPSA-2008-0309
- http://www.debian.org/security/2008/dsa-1645
- http://www.lighttpd.net/security/lighttpd-1.4.x_userdir_lowercase.patch
- http://www.lighttpd.net/security/lighttpd_sa_2008_06.txt
- http://www.securityfocus.com/archive/1/497932/100/0/threaded
- http://www.securityfocus.com/bid/31600
- http://www.vupen.com/english/advisories/2008/2741
- https://exchange.xforce.ibmcloud.com/vulnerabilities/45689