Saltar al contenido

¿Es “mini-httpd” un servidor web seguro?

Te damos la contestación a este atasco, al menos eso deseamos. Si sigues con interrogantes deja tu comentario, que sin dudarlo te ayudaremos

Solución:

Actualizar: Como señaló Moti Korets aquí, mi respuesta se relaciona con “Vector Ultra Mini Httpd”, no con “ACME mini_httpd” que ahora me doy cuenta de que OP me estaba solicitando.

Vector Ultra Mini Httpd

No, no es seguro.

Incluso la última versión, v1.21, sufre un grave desbordamiento de búfer basado en la pila, lo que significa que un atacante remoto puede obtener el control de su sistema. CVE aquí.

ACME mini_httpd

Vea la excelente respuesta de Jimis aquí.

No confiaría en la oscuridad de mini_httpd para mejorar la seguridad.

Como se menciona en la respuesta de SilverlightFox, existe una vulnerabilidad excepcional. Me sorprende que no haya más problemas; podría ser que la gente simplemente no haya probado.

Para mí, como probador de sistemas integrados, mini_httpd es una señal de alerta. Si veo esto en los encabezados, casi siempre habrá una vulnerabilidad en otro lugar. Esto es, por supuesto, anecdótico, pero he visto una correlación muy fuerte.

Me quedaría con un demonio más conocido y probado.

lighttpd sigue siendo relativamente ligero y responde a los informes de seguridad. Sería una buena opción si desea alojar contenido rico e interactivo.

yaSSL de wolfSSL es un demonio HTTP basado en la seguridad que vale la pena mirar. Es muy liviano y brinda soporte de pago si es necesario.

nginx también se ha vuelto factible para sistemas integrados más grandes en los últimos años.

No tengo el privilegio de comentar sobre la respuesta de SilverlightFox, así que mencionaré aquí que el CVE vinculado se trata de “Ultra mini httpd”, que es un servidor HTTP de Windows, posiblemente diferente a ACME mini_httpd.

Y aunque mini_httpd parece no tener mantenimiento, los desarrolladores de Debian están haciendo un buen trabajo manteniéndolo. Es posible que desee consultar la página del paquete, específicamente la fuente del paquete de Debian.

En ese tarball encontrará el archivo “registro de cambios” que menciona algunos errores y un CVE, para que pueda aplicar los parches desde el subdirectorio “parches”. O use el paquete Debian mantenido.

Creo que está bien cubierto entonces, y mini-httpd debería ser lo suficientemente seguro.

Aquí tienes las reseñas y calificaciones

Nos puedes proteger nuestro quehacer exponiendo un comentario y dejando una puntuación te estamos agradecidos.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)


Tags : /

Utiliza Nuestro Buscador

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *