Debians sikkerhedsbulletin

DSA-2649-1 lighttpd -- fast socket-navn i mappe som er skrivbar for alle

Rapporteret den:
15. mar 2013
Berørte pakker:
lighttpd
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-1427.
Yderligere oplysninger:

Stefan Bühler opdagede, at i den Debian-specifikke opsætningsfil til webserveren lighttpd's understøttelse af FastCGI-PHP, blev der benyttet et fast socket-navn i mappen /tmp, som er skrivbar for alle. Et symlink-angreb eller kapløbstilstand kunne udnyttes af en ondsindet brugere på den samme maskine til at overtage PHP's controlsocket og eksempelvis tvinge webserveren til at anvende en anden version af PHP.

Da rettelsen er i opsætningsfilen, som befinder sig i /etc, vil opdateringen ikke blive gennemtvunget såfremt filen er blevet ændret af administratoren. I det tilfælde skal man sørge for selv at foretage rettelsen.

I den stabile distribution (squeeze), er dette problem rettet i version 1.4.28-2+squeeze1.3.

I distributionen testing (wheezy), er dette problem rettet i version 1.4.31-4.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.31-4.

Vi anbefaler at du opgraderer dine lighttpd-pakker.