バナーによると、リモートホストで実行されているlighttpdのバージョンは、1.4.16より前です。したがって、複数の脆弱性の影響を受けます。- mod_authを使用すると、リモートの攻撃者は、詳細不明なベクトルを介して、（1）メモリリーク、（2）cnonceなしのmd5-sessの使用、（3）base64でエンコードされた文字列、（4）Auth-Digestヘッダーの後続の空白、などを含むサービス拒否を引き起こす可能性があります。（CVE-2007-3946）- サーバーが重複したヘッダーを持つHTTPリクエストを送信することによって、リモートの攻撃者がサービス拒否を引き起こす可能性があります。（CVE-2007-3947）- サーバーが設定された最大値より多くの接続を受け入れる可能性があるため、リモートの攻撃者が大量の接続試行を通じてサービス拒否を引き起こす可能性があります。（CVE-2007-3948）- mod_accessがURLに含まれる/（スラッシュ）文字を無視するため、リモートの攻撃者がurl.access-deny設定をバイパスする可能性があります。（CVE-2007-3949）- サーバーが32ビットのプラットフォームで動作するとき、リモート攻撃者が（1）mod_scgi、（2）mod_fastcgi、（3）mod_webdavモジュールの特定のデバッグメッセージで、互換性のないフォーマット指定子を使った詳細不明なベクトルを介して、サービス拒否（デーモンクラッシュ）を引き起こす可能性があります。（CVE-2007-3950）Nessusはこれらの問題をテストしていませんが、代わりにアプリケーションの自己報告されたバージョン番号のみに依存しています。

検出

lighttpd < 1.4.16の複数の脆弱性

high Nessus プラグイン ID 106623

バージョン 1.4