Bulletin d'alerte Debian

DSA-2649-1 lighttpd -- Nom de socket fixe dans un répertoire accessible en écriture à tous

Date du rapport :
15 mars 2013
Paquets concernés :
lighttpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1427.
Plus de précisions :

Stefan Bühler a découvert que le fichier de configuration spécifique à Debian pour le serveur web lighttpd avec prise en charge de PHP en FastCGI utilisait un nom de socket fixe dans le répertoire /tmp accessible en écriture à tous. Une attaque de lien symbolique ou une situation de compétition pourraient être exploitées par un utilisateur malveillant sur la même machine pour prendre le contrôle de la socket PHP et par exemple obliger le serveur web à utiliser une autre version de PHP.

Puisque la correction est dans un fichier de configuration de /etc, la mise à jour ne sera pas forcée si le fichier a été modifié par l'administrateur. Dans ce cas, une attention particulière doit être portée pour appliquer vous-même la correction.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.28-2+squeeze1.3.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1.4.31-4.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.31-4.

Nous vous recommandons de mettre à jour vos paquets lighttpd.