Vulnerabilidad en la función http_request_split_value en request.c en lighttpd (CVE-2012-5533)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-399
Error en la gestión de recursos
Fecha de publicación:
24/11/2012
Última modificación:
11/04/2025
Descripción
La función http_request_split_value en request.c en lighttpd en versiones anteriores a 1.4.32 permite a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de una petición con una cabecera que contiene un token vacío, tal como se demuestra utilizando la cabecera "Connection: TE,,Keep-Alive".
Impacto
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:lighttpd:lighttpd:1.4.31:*:*:*:*:*:*:* | ||
| cpe:2.3:a:lighttpd:lighttpd:1.4.32:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.31_fix_connection_header_dos.patch
- http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2012_01.txt
- http://lists.opensuse.org/opensuse-updates/2012-11/msg00044.html
- http://lists.opensuse.org/opensuse-updates/2014-01/msg00051.html
- http://marc.info/?l=bugtraq&m=141576815022399&w=2
- http://osvdb.org/87623
- http://packetstormsecurity.org/files/118282/Simple-Lighttpd-1.4.31-Denial-Of-Service.html
- http://secunia.com/advisories/51268
- http://secunia.com/advisories/51298
- http://www.exploit-db.com/exploits/22902
- http://www.mandriva.com/security/advisories?name=MDVSA-2013%3A100
- http://www.openwall.com/lists/oss-security/2012/11/21/1
- http://www.securityfocus.com/bid/56619
- http://www.securitytracker.com/id?1027802=
- https://exchange.xforce.ibmcloud.com/vulnerabilities/80213
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2012-0345
- http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.31_fix_connection_header_dos.patch
- http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2012_01.txt
- http://lists.opensuse.org/opensuse-updates/2012-11/msg00044.html
- http://lists.opensuse.org/opensuse-updates/2014-01/msg00051.html
- http://marc.info/?l=bugtraq&m=141576815022399&w=2
- http://osvdb.org/87623
- http://packetstormsecurity.org/files/118282/Simple-Lighttpd-1.4.31-Denial-Of-Service.html
- http://secunia.com/advisories/51268
- http://secunia.com/advisories/51298
- http://www.exploit-db.com/exploits/22902
- http://www.mandriva.com/security/advisories?name=MDVSA-2013%3A100
- http://www.openwall.com/lists/oss-security/2012/11/21/1
- http://www.securityfocus.com/bid/56619
- http://www.securitytracker.com/id?1027802=
- https://exchange.xforce.ibmcloud.com/vulnerabilities/80213
- https://wiki.mageia.org/en/Support/Advisories/MGASA-2012-0345