Sikkerhedsoplysninger / 2011 / Sikkerhedsoplysninger -- DSA-2368-1 lighttpd

Debians sikkerhedsbulletin

DSA-2368-1 lighttpd -- flere sårbarheder

Rapporteret den:

20. dec 2011

Berørte pakker:

lighttpd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 652726.
I Mitres CVE-ordbog: CVE-2011-4362, CVE-2011-3389.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i lighttpd, en lille og hurtig webserver med minimalt hukommelsesforbrug.

• CVE-2011-4362

  Xi Wang opdagede, at base64-dekodningsrutinen, der anvendes til at dekode brugerinddata under en HTTP-autentificering, var ramt af et fortegnsproblem når brugerinddata blev behandlet. Som følge heraf var det muligt at tvinge lighttpd til at læse uden for grænserne, medførende lammelsesangrebstilstande (denial of service).

• CVE-2011-3389

  Når der på en virtuel host med aktiveret SSL, blev anvendt CBC-koder til at kommunikere med visse klienter, gjorde et såkaldt BEAST-angreb det muligt for manden i midten-angribere at få adgang til HTTP-trafik i ren tekst via et blokvist chosen-boundary-angreb (BCBA) på en HTTPS-session. Teknisk er det ikke en lighttpd-sårbarhed, men lighttpd tilbyder en omgåelse for at mindske omfanget af problemet, ved at gøre det muligt at dektivere CBC-koder.

  Opdateringen indeholder som standard denne indstilling. Det anbefales Systemadministratorer at læse NEWS-filen hørende til denne opdatering (det ældre klienter kan holde op med at virke).

I den gamle stabile distribution (lenny), er dette problem rettet i version 1.4.19-5+lenny3.

I den stabile distribution (squeeze), er dette problem rettet i version 1.4.28-2+squeeze1.

I distributionen testing (wheezy), vil dette problem snart blive rettet.

I den ustabile distribution (sid), er dette problem rettet i version 1.4.30-1.

Vi anbefaler at du opgraderer dine lighttpd-pakker.