セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2649-1 lighttpd

Debian セキュリティ勧告

DSA-2649-1 lighttpd -- 書き込み可能なディレクトリで決まったソケット名を使用

報告日時:

2013-03-15

影響を受けるパッケージ:

lighttpd

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2013-1427.

詳細:

Stefan Bühler さんが、lighttpd ウェブサーバの FastCGI PHP サポートの Debian 固有の設定ファイルが誰からでも書き込み可能で /tmp ディレクトリで決まったソケット名を使っていることを発見しました。 同一マシン上の悪意のあるユーザがシンボリックリンク攻撃や競合状態を悪用して PHP 制御ソケットを乗っ取り、例えばウェブサーバに異なる PHP バージョンを強制的に利用させるといったことが可能になります。

修正は /etc にある設定ファイルに対するものであるため、 このファイルが管理者により変更されている場合には更新が実施されません。 その場合は、注意して手作業で修正を適用してください。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.28-2+squeeze1.3 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 1.4.31-4 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.31-4 で修正されています。

直ちに lighttpd パッケージをアップグレードすることを勧めます。