Säkerhetsbulletin från Debian

DSA-2626-1 lighttpd -- flera problem

Rapporterat den:
2013-02-17
Berörda paket:
lighttpd
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 700399.
I Mitres CVE-förteckning: CVE-2009-3555, CVE-2012-4929.
Ytterligare information:

Flera sårbarheter har hittats i TLS/SSL protokollet. Den här uppdateringen åtgärdar dessa sårbarheter i protokollet i lighttpd.

  • CVE-2009-3555

    Marsh Ray, Steve Dispensa, och Martin Rex upptäckte att TLS SSLv3 protokollen inte associerar omförhandlingshandskakningar ordentligt med en existerande anslutning, vilket tillåter man-in-the-middle-attackerare att infoga data i HTTPS-sessioner. Denna sårbarhet i lighttpd löses genom att stänga av klientinitierad omförhandling som standardinställning.

    Dom användare som verkligen behöver sådana omförhandlingar, kan återställa dom via den nya ssl.disable-client-renegotiation-parametern.

  • CVE-2012-4929

    Juliano Rizzo och Thai Duong hittade en svaghet i TLS/SSL-protokollen vid användning av komprimering. Detta sidkanalsangrepp, kallat "CRIME", gjorde det möjligt för tjuvlyssnare att samla information för att förvärva den ursprungliga klartexten i protokollet. Denna uppdatering av nginx deaktiverar SSL-komprimering.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 1.4.28-2+squeeze1.2.

För uttestningsutgåvan (wheezy), and the instabila utgåvan (Sid) har dessa problem rättats i version 1.4.30-1.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.