Bulletin d'alerte Debian

DSA-2626-1 lighttpd -- Plusieurs problèmes

Date du rapport :
17 février 2013
Paquets concernés :
lighttpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 700399.
Dans le dictionnaire CVE du Mitre : CVE-2009-3555, CVE-2012-4929.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le protocole TLS/SSL. Cette mise à jour traite ces vulnérabilités de protocole dans lighttpd.

  • CVE-2009-3555

    Marsh Ray, Steve Dispensa, et Martin Rex ont découvert que les protocoles TLS et SSLv3 n'associaient pas correctement les initialisations de renégociation avec une connexion existante. Cela permet aux attaquants en homme au milieu (man in the middle) d'insérer des données dans des sessions HTTPS. Ce problème est corrigé dans lighttpd en désactivant par défaut la renégociation initiée par le client.

    Les utilisateurs qui ont vraiment besoin de ce type de renégociations peuvent les réactiver avec le nouveau paramètre ssl.disable-client-renegotiation.

  • CVE-2012-4929

    Juliano Rizzo et Thai Duong ont découvert une faille dans le protocole TLS/SSL quand la compression est utilisée. Cette attaque par des canaux auxiliaires, baptisée CRIME, permet à des personnes indiscrètes de collecter des informations afin de retrouver le texte original dans le protocole. Cette mise à jour désactive la compression SSL.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.2.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.30-1.

Nous vous recommandons de mettre à jour vos paquets lighttpd.