Der HTTP-Header einer Server-Client-Verbindung regelt gewöhnlich verschiedene Einstellungen für die HTTP-Kommunikation und befindet sich am Anfang eines jeden HTTP-Datenaustauschs. Sowohl der Client als auch der Server verwenden diese Header, wobei die verfügbaren Header-Felder für die Parteien unterschiedlich sein können. Ein Client kann dem Server mit Hilfe des Connection-Feldes beispielsweise mitteilen, welchen Verbindungstyp er bevorzugt.
Ein älteres Patch macht den Lighttpd-Webserver anfällig für Denial-of-Service-Attacken, die sich mittels spezieller Parameter des Connection-Eintrages durchführen lassen.
Das Problem tritt auf, wenn der HTTP-Header folgende Zeile für das Connection-Feld enthält:
Connection: TE,,Keep-Alive
Dies schickt den Server in eine Endlosschleife. Die Schwachstelle wurde in Version 1.4.31 im Rahmen eines Bugfixes in Lighttpd eingeführt.
Betroffen ist die Version 1.4.31.

