Säkerhetsbulletin från Debian

DSA-2368-1 lighttpd -- flera sårbarheter

Rapporterat den:
2011-12-20
Berörda paket:
lighttpd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 652726.
I Mitres CVE-förteckning: CVE-2011-4362, CVE-2011-3389.
Ytterligare information:

Flera sårbarheter har upptäckts i lighttpd, en liten och snabb webbserver med ett minimal minnesanvändning.

  • CVE-2011-4362

    Xi Wang upptäckte att avkodningsrutinen för base64 som används för att avkoda användarindata under HTTP-autentisering, lider av ett problem med signedness vid behandling av användarindata. Som ett resultat av detta är det möjligt att tvinga lighttpd att utföra en läsning utanför gränserna vilket resulterar i överbelastning.

  • CVE-2011-3389

    När CBC-skiffer används på en SSL-aktiverad virtuell host för att kommunicera med vissa klienter tillåter ett så kallat BEAST-angrepp man-in-the-middle-angripare att få åtkomst till HTTP-trafik i ren text via ett blockvis chosen-boundary-angrepp (BCBA) på en HTTP-session. Tekniskt är detta ingen lighttpdsårbarhet. Dock så tillhandahåller lighttpd en workaround för att mildra detta problem genom att tillhandahålla en möjlighet att inaktivera CBC-skiffer.

    Denna uppdatering inkluderar detta alternativ som standard. Systemadministratörer rekommenderas att läsa NEWS-filen i denna uppdatering (eftersom detta kan förstöra äldre klienter).

För den gamla stabila utgåvan (Lenny) har detta problem rättats i version 1.4.19-5+lenny3.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 1.4.28-2+squeeze1.

För uttestningsutgåvan (Wheezy) kommer detta problem att rättas inom kort

För den instabila utgåvan (Sid) har detta problem rättats i version 1.4.30-1.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.