Информация по безопасности / 2011 / Информация о безопасности -- DSA-2368-1 lighttpd

Рекомендация Debian по безопасности

DSA-2368-1 lighttpd -- многочисленные уязвимости

Дата сообщения:

20.12.2011

Затронутые пакеты:

lighttpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 652726.
В каталоге Mitre CVE: CVE-2011-4362, CVE-2011-3389.

Более подробная информация:

В lighttpd, небольшом и быстром веб-сервере с минимальным потреблением памяти, было обнаружено несколько уязвимостей.

• CVE-2011-4362

  Си Ван обнаружил, что функция декодирования base64, используемая для декодирования передаваемых пользователем входных данных во время HTTP-аутентификации, содержит проблему знаковости, проявляющуюся при обработке входных данных. В результате служба lighttpd может выполнить чтение за пределами выделенного буфера, что приводит к отказу в обслуживании.

• CVE-2011-3389

  При использовании CBC-шифров на виртуальном узле с включённой поддержкой SSL для взаимодействия с определённым клиентом так называемая атака BEAST позволяет MITM-злоумышленникам получать HTTP-трафик в виде простого текста с помощью выполнения BCBA-атаки на HTTPS-сессию. Технически это не является уязвимостью lighttpd. Тем не менее, lighttpd предлагает временное решение, позволяющее снизить вред данной проблемы путём предоставления возможности отключения CBC-шифров.

  Данное обновление по умолчанию включает эту опцию. Системным администраторам рекомендуется ознакомится с файлом NEWS в данном обновлении (поскольку это изменение может привести к поломке более старых клиентов).

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 1.4.19-5+lenny3.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 1.4.28-2+squeeze1.

В тестируемом выпуске (wheezy) эта проблема будет исправлена позже.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 1.4.30-1.

Рекомендуется обновить пакеты lighttpd.