Информация по безопасности / 2013 / Информация о безопасности -- DSA-2626-1 lighttpd

Рекомендация Debian по безопасности

DSA-2626-1 lighttpd -- несколько проблем

Дата сообщения:

17.02.2013

Затронутые пакеты:

lighttpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 700399.
В каталоге Mitre CVE: CVE-2009-3555, CVE-2012-4929.

Более подробная информация:

В протоколе TLS/SSL были обнаружены несколько проблем. Данное обновление касается уязвимостей протокола в lighttpd.

• CVE-2009-3555

  Марш Рэй, Стив Диспенса и Мартин Рекс обнаружили, что протоколы TLS и SSLv3 неправильно связывают пересмотр рукопожатий с существующим соединением, что позволяет атакующим по принципу человек в середине вставлять данные с сессии HTTPS. Данная проблема исправлена в lighttpd путём отключения по умолчанию пересмотра со стороны клиента.

  Те пользователи, которым нужна возможность пересмотре, могут заново включить её через новый параметр ssl.disable-client-renegotiation.

• CVE-2012-4929

  Джулиано Риццо и Тай Донг обнаружили уязвимость в протоколе TLS/SSL, проявляющуюся во время сжатия. Данная атака по сторонним каналам, схожая с CRIME, позволяет собрать информацию для раскрытия изначальных текстовых данных протокола. Данное обновление отключает сжатие.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.28-2+squeeze1.2.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 1.4.30-1.

Рекомендуется обновить пакеты lighttpd.