Open Source im professionellen Einsatz

Lighttpd : Denial-of-Service-Attacke durch speziellen HTTP-Header

Der HTTP-Header einer Server-Client-Verbindung regelt gewöhnlich verschiedene Einstellungen für die HTTP-Kommunikation und befindet sich am Anfang eines jeden HTTP-Datenaustauschs. Sowohl der Client als auch der Server verwenden diese Header, wobei die verfügbaren Header-Felder für die Parteien unterschiedlich sein können. Ein Client kann dem Server mit Hilfe des Connection-Feldes beispielsweise mitteilen, welchen Verbindungstyp er bevorzugt.

Ein älteres Patch macht den Lighttpd-Webserver anfällig für Denial-of-Service-Attacken, die sich mittels spezieller Parameter des Connection-Eintrages durchführen lassen.

Das Problem tritt auf, wenn der HTTP-Header folgende Zeile für das Connection-Feld enthält:

Connection: TE,,Keep-Alive

Dies schickt den Server in eine Endlosschleife. Die Schwachstelle wurde in Version 1.4.31 im Rahmen eines Bugfixes in Lighttpd eingeführt.

Betroffen ist die Version 1.4.31.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.