Debians sikkerhedsbulletin

DSA-2626-1 lighttpd -- flere problemer

Rapporteret den:
17. feb 2013
Berørte pakker:
lighttpd
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 700399.
I Mitres CVE-ordbog: CVE-2009-3555, CVE-2012-4929.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i TLS-/SSL-protokollen. Denne opdatering af protokolsårbarhederne i lighttpd.

  • CVE-2009-3555

    Marsh Ray, Steve Dispensa og Martin Rex opdagede at TLS- og SSLv3-protokollerne ikke på korrekt vis tilknyttede genforhandlingshåndtryk til en eksisterende forbindelse, hvilket gjorde det muligt for manden i midten-angribere at indsætte data i HTTPS-sessioner. Problemet er løst i lighttpd ved som standard at deaktivere klientinitialiseret genforhandling.

    De brugere, som rent faktisk har brug for en sådan genforhandling, kan genaktivere den via det nye parameter ssl.disable-client-renegotiation.

  • CVE-2012-4929

    Juliano Rizzo og Thai Duong opdagede en svaghed i TLS-/SSL-protokollen, når der anvendes komprimering. Sidekanalsangrebet, kaldet CRIME, gjorde det muligt for smuglyttere at opsamle oplysninger til at erhverve den oprindelige rene tekst i protokollen. Opdateringen deaktiverer komprimering.

I den stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.2.

I distributionen testing (wheezy) og i den ustabile distribution (sid) er disse problemer rettet i version 1.4.30-1.

Vi anbefaler at du opgraderer dine lighttpd-pakker.