Lighttpd mod_cgi模块信息泄露漏洞

受影响的系统：LightTPD，版本低于 1.4.18-r2

描述：

近期发现的BUGTRAQ ID为28100，CVE（CAN）ID为CVE-2008-1111的安全漏洞，影响了广泛使用的Lighttpd软件。Lighttpd是一款轻量级的开源Web服务器软件包，然而在处理特定异常情况时存在安全隐患。

具体来说，当Lighttpd中的mod_cgi模块无法继续创建新的进程（例如达到系统限制ulimit）时，它可能会泄露敏感信息，将完整的cgi脚本源码发送给远程攻击者。这一漏洞可能为恶意用户获取服务器源代码提供机会。

信息来源：Christian Hoffmann

相关链接：

secunia的安全通告：

Gentoo的bug报告和补丁信息：

Gentoo的安全公告GLSA-200803-10：

建议措施：

-

对于Gentoo用户：

Gentoo已经发布了一个安全公告GLSA-200803-10以及相应的补丁来解决这个问题。强烈建议所有使用lighttpd的Gentoo用户按照以下步骤进行升级：

1. 同步更新包数据库：`emerge --sync`

2. 升级至的lighttpd版本：`emerge --ask --oneshot --verbose ">=www-servers/lighttpd-1.4.18-r2"`

对于其他LightTPD用户：

厂商已经发布了升级补丁以修复这个安全问题。请前往厂商的主页下载的补丁包，具体地址：

提醒所有用户保持警惕，及时应用安全更新，以确保系统的安全性和稳定性。安全第一，预防为主。