Bulletin d'alerte Debian

DLA-583-1 lighttpd -- Mise à jour de sécurité pour LTS

Date du rapport :
3 août 2016
Paquets concernés :
lighttpd
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 832571.
Dans le dictionnaire CVE du Mitre : CVE-2016-1000212.
Plus de précisions :

Dominic Scheirlinck et Scott Geary de Vend ont signalé un comportement non sûr dans le serveur web lighttpd. Lighttpd assignait aux variables d'environnement internes HTTP_PROXY les valeurs d'en-tête du mandataire à partir des requêtes du client. Cela pourrait être utilisé pour porter des attaques de type « homme du milieu » (MITM) ou pour initier des connexions à des hôtes arbitraires.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 1.4.31-4+deb7u5.

Nous vous recommandons de mettre à jour vos paquets lighttpd.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.