Bulletin d'alerte Debian

DSA-2368-1 lighttpd -- Plusieurs vulnérabilités

Date du rapport :

20 décembre 2011

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 652726.
Dans le dictionnaire CVE du Mitre : CVE-2011-4362, CVE-2011-3389.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans lighttpd, un serveur web petit et rapide avec une empreinte mémoire minimale.

CVE-2011-4362
Xi Wang a découvert que la routine de décodage base64 utilisée pour décoder l'entrée de l'utilisateur lors d'une authentification HTTP, souffre d'un problème de signe lors du traitement de l'entrée de l'utilisateur. Par conséquent, il est possible de forcer lighttpd à réaliser une lecture hors limites avec pour conséquence des conditions de déni de service.
CVE-2011-3389
Lors de l'utilisation de chiffrement CBC sur un hôte virtuel avec SSL activé pour communiquer avec un certain client, une attaque dite BEAST permet aux attaquants en homme au milieu d'obtenir le trafic en texte non chiffré à l'aide d'une attaque de blocs de frontière choisie (BCBA) sur une session HTTPS. Techniquement, ce n'est pas une vulnérabilité de lighttpd. Cependant, lighttpd offre un contournement pour modérer ce problème en fournissant la possibilité de désactiver les chiffrements CBC.

Cette mise à jour fournit cette option par défaut. Nous conseillons aux administrateurs système de lire le fichier NEWS de cette mise à jour (car cela peut casser des clients plus anciens).

Pour la distribution oldstable (Lenny), ce problème a été corrigé dans la version 1.4.19-5+lenny3.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.4.28-2+squeeze1.

Pour la distribution testing (Wheezy), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.4.30-1.

Nous vous recommandons de mettre à jour vos paquets lighttpd.