Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut envoyer une requête avec un en-tête Connection
dont une valeur est la chaîne vide, afin de bloquer le serveur.

Produits concernés : openSUSE, Unix (plateforme)

Gravité : 2/4

Date création : 21/11/2012

DESCRIPTION DE LA VULNÉRABILITÉ

Lighttpd est un serveur HTTP.

Une requête HTTP contient plusieurs en-têtes. L’en-tête Connection
indique comment gérer la connexion TCP après le traitement de la
requête, sa valeur peut être une liste. Cependant, lorsqu’un des
mots de cette liste est la chaîne vide, le serveur ne gère pas
correctement le découpage de la liste, ce qui conduit à une boucle
sans fin.

Un attaquant peut donc envoyer une requête avec un en-tête
Connection dont une valeur est la chaîne vide, afin de bloquer le
serveur.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/lighttpd-deni-de-service-via-l-en-tete-Connection-12178