Die Linux-Distribution Gentoo hat die Pakete für den Mini-Webserver Cherokee aktualisiert, da Versionen vor 0.4.17.1 eine Format-String-Schwachstelle in der Funktion cherokee_logger_ncsa_write_string() enthalten. Damit ist es mit bestimmten URLs in Verbindungen mit der Authentifizierung via auth_pam möglich, den Server zum Absturz zu bringen oder Code einzuschleusen und im Kontext des Servers zu starten. Die fehlerfreie Version steht auch im Quellcode auf der Cherokee-Homepage zum Download bereit.
Quelle:heise Security
Cheers
@jACK:pfct: