セキュリティ情報 / 2011 / セキュリティ情報 -- DSA-2368-1 lighttpd

Debian セキュリティ勧告

DSA-2368-1 lighttpd -- 複数の脆弱性

報告日時:

2011-12-20

影響を受けるパッケージ:

lighttpd

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 652726.
Mitre の CVE 辞書: CVE-2011-4362, CVE-2011-3389.

詳細:

メモリ消費を最小限に抑えた小型で高速なウェブサーバ lighttpd に、複数 の問題が発見されました。

• CVE-2011-4362

  Xi Wang さんにより、HTTP 認証の際にユーザ入力のデコードに用いる base64 デコード処理に、ユーザ入力処理時の符号処理誤りが発見されま した。この欠陥を攻撃することで、lighttpd に範囲外読み出しを起こさ せてサービス拒否攻撃を行うことが可能です。

• CVE-2011-3389

  SSL を有効化したヴァーチャルホストとクライアント間の通信に CBC 暗 号を用いる場合、いわゆる BEAST 攻撃による中間者攻撃が可能です。具 体的には、HTTPS セッションに対してブロック選択境界攻撃 (BCBA) を用 いて平文の HTTP トラフィックを取得可能です。技術的には、これは lighttpd の欠陥ではありません。しかしながら、lighttpd では、CBC 暗 号を無効化することでこの問題を緩和するという回避措置を提供すること にしました。

  この更新では上記のオプションを標準で指定します。システム管理者は、 この更新の NEWS ファイルを読むことを推奨します (古いクライアントが 動かなくなっているかも知れません)。

旧安定版 (oldstable) ディストリビューション (lenny) では、この問題は バージョン 1.4.19-5+lenny3 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバー ジョン 1.4.28-2+squeeze1 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近 く修正予定です。 . 不安定版 (unstable) ディストリビューション (sid) では、この問題はバー ジョン 1.4.30-1 で修正されています。

直ぐに lighttpd パッケージをアップグレードすることを勧めます。