JVNVU#97186853
lighttpdにおける解放済みメモリ使用（use-after-free）の脆弱性

lighttpd 1.4.50およびそれ以前のバージョンにおける解放済みメモリ使用（use-after-free）の脆弱性が、多くの製品で対策されていないと指摘されています。

• lighttpd 1.4.50あるいはそれ以前のバージョンを実装した製品

lighttpdは、CPU性能やメモリ容量が限られている低リソース環境向けの軽量なWebサーバーソフトウェアです。
VDOOの研究者によって、lighttpd 1.4.50およびそれ以前のバージョンのHTTPヘッダー解析コードに解放済みメモリ使用（use-after-free）の脆弱性が発見され、2018年10月リリースのバージョン1.4.51によって修正されました。VDOOからは、この脆弱性の説明を含む記事が2018年11月に公開されています（Giving Back – Securing Open Source IoT Projects – VDOO）。
​しかし、この脆弱性に対してCVEはアサインされていませんでした。
2024年4月になって、この脆弱性が多くの製品にまだ存在していることを示す調査結果がBinarlyやrunZeroから公表されました（lighttpd vulnerability unfixed since 2018（Binarly）、How to find outdated lighttpd services（runZero））。
2024年6月、この脆弱性に対してCVE-2018-25103がアサインされました。

細工されたHTTPリクエストにより、lighttpdがクラッシュさせられたりメモリ内容が漏えいしたりする可能性があります。

パッチを適用する
ベンダが提供する最新のパッチを適用してください。

ワークアラウンドを実施する
使用している製品のサポートがすでに終了している場合には、当該製品への接続を信頼できる範囲からのみに制限するとともに、代替製品への入れ替えを検討してください。