¿Es “mini-httpd” un servidor web seguro?

13

Estoy usando enlace para mi sistema integrado. ¿Es tan "seguro" como los servidores web más conocidos como Apache o lighttpd?

Ser un servidor web menos conocido significa que es menos probable que sea atacado por ataques, pero tal vez también sea menos probado.

    
pregunta michelemarcon 29.09.2015 - 12:04
fuente

3 respuestas

28

Actualización: Como se señala en Moti Korets here , mi respuesta se refiere a" Vector Ultra Mini Httpd ", no" ACME mini_httpd "que ahora me doy cuenta de que el OP me está pidiendo.

Vector Ultra Mini Httpd

No, no es seguro.

Incluso la versión más reciente, v1.21 sufre un grave desbordamiento de búfer basado en la pila, lo que significa que un atacante remoto puede obtener el control de su sistema. CVE aquí .

ACME mini_httpd

Consulte jimis excelente respuesta aquí .

    
respondido por el SilverlightFox 29.09.2015 - 12:27
fuente
14

No confiaría en la oscuridad de mini_httpd para mejorar la seguridad.

Como se mencionó en la respuesta de SilverlightFox, existe una vulnerabilidad excepcional. Me sorprende que no haya más problemas, podría ser que las personas simplemente no lo hayan probado.

Para mí, como un comprobador de lápiz de sistemas embebidos, mini_httpd es una bandera roja. Si veo esto en los encabezados, casi siempre habrá una vulnerabilidad en otro lugar. Esto es, por supuesto, anecdótico, pero he visto una correlación muy fuerte.

Me quedaría con un demonio más conocido y probado.

lighttpd sigue siendo relativamente ligero y responde a los informes de seguridad. Sería una buena opción si desea alojar contenido rico e interactivo.

yaSSL by wolfSSL es un demonio HTTP basado en seguridad que vale la pena ver. Es muy liviano y, si es necesario, brindan asistencia de pago.

nginx también se ha hecho viable para sistemas integrados más grandes en los últimos años.

    
respondido por el Cybergibbons 29.09.2015 - 14:51
fuente
5

No tengo el privilegio de comentar sobre la respuesta de SilverlightFox, por lo que mencionaré aquí que el CVE vinculado trata sobre "Ultra mini httpd", que es un servidor HTTP de Windows, posiblemente diferente al ACME mini_httpd.

Y aunque mini_httpd parece no mantenerse, los desarrolladores de Debian están haciendo un buen trabajo al mantenerlo. Es posible que desee consultar la página del paquete , específicamente la fuente del paquete debian .

En ese tarball encontrará el archivo "changelog" que menciona algunos errores y un CVE, por lo que puede aplicar los parches desde el subdirectorio "parches". O use el paquete Debian mantenido.

Creo que estás bien cubierto entonces, y mini-httpd debería ser lo suficientemente seguro.

    
respondido por el jimis 30.09.2015 - 17:04
fuente

Lea otras preguntas en las etiquetas