Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2626-1 lighttpd

Debians sikkerhedsbulletin

DSA-2626-1 lighttpd -- flere problemer

Rapporteret den:

17. feb 2013

Berørte pakker:

lighttpd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 700399.
I Mitres CVE-ordbog: CVE-2009-3555, CVE-2012-4929.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i TLS-/SSL-protokollen. Denne opdatering af protokolsårbarhederne i lighttpd.

• CVE-2009-3555

  Marsh Ray, Steve Dispensa og Martin Rex opdagede at TLS- og SSLv3-protokollerne ikke på korrekt vis tilknyttede genforhandlingshåndtryk til en eksisterende forbindelse, hvilket gjorde det muligt for manden i midten-angribere at indsætte data i HTTPS-sessioner. Problemet er løst i lighttpd ved som standard at deaktivere klientinitialiseret genforhandling.

  De brugere, som rent faktisk har brug for en sådan genforhandling, kan genaktivere den via det nye parameter ssl.disable-client-renegotiation.

• CVE-2012-4929

  Juliano Rizzo og Thai Duong opdagede en svaghed i TLS-/SSL-protokollen, når der anvendes komprimering. Sidekanalsangrebet, kaldet CRIME, gjorde det muligt for smuglyttere at opsamle oplysninger til at erhverve den oprindelige rene tekst i protokollen. Opdateringen deaktiverer komprimering.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.2.

I distributionen testing (wheezy) og i den ustabile distribution (sid) er disse problemer rettet i version 1.4.30-1.

Vi anbefaler at du opgraderer dine lighttpd-pakker.