Bulletin d'alerte Debian

DLA-490-1 bozohttpd -- Mise à jour de sécurité pour LTS

Date du rapport :
26 mai 2016
Paquets concernés :
bozohttpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 755197.
Dans le dictionnaire CVE du Mitre : CVE-2014-5015, CVE-2015-8212.
Plus de précisions :

Deux vulnérabilités de sécurité ont été découvertes dans bozohttpd, un petit serveur HTTP.

  • CVE-2014-5015

    Le serveur HTTP Bozotic (ou bozohttpd), versions antérieures à 201407081, tronque les chemins lors de la vérification des restrictions .htpasswd. Cela permet à des attaquants distants de contourner le schéma d'authentification HTTP et d'accéder aux restrictions à l'aide d'un long chemin.

  • CVE-2015-8212

    Un défaut dans la prise en charge de la gestion de suffixe de CGI a été découvert, si l'option -C a été utilisée pour installer un gestionnaire CGI, qui pourrait avoir pour conséquence l'exécution de code distant.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 20111118-1+deb7u1.

Nous vous recommandons de mettre à jour vos paquets bozohttpd.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.