Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2626-1 lighttpd

Säkerhetsbulletin från Debian

DSA-2626-1 lighttpd -- flera problem

Rapporterat den:

2013-02-17

Berörda paket:

lighttpd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 700399.
I Mitres CVE-förteckning: CVE-2009-3555, CVE-2012-4929.

Ytterligare information:

Flera sårbarheter har hittats i TLS/SSL protokollet. Den här uppdateringen åtgärdar dessa sårbarheter i protokollet i lighttpd.

• CVE-2009-3555

  Marsh Ray, Steve Dispensa, och Martin Rex upptäckte att TLS SSLv3 protokollen inte associerar omförhandlingshandskakningar ordentligt med en existerande anslutning, vilket tillåter man-in-the-middle-attackerare att infoga data i HTTPS-sessioner. Denna sårbarhet i lighttpd löses genom att stänga av klientinitierad omförhandling som standardinställning.

  De användare som verkligen behöver sådana omförhandlingar, kan återställa dem via den nya ssl.disable-client-renegotiation-parametern.

• CVE-2012-4929

  Juliano Rizzo och Thai Duong hittade en svaghet i TLS/SSL-protokollen vid användning av komprimering. Detta sidkanalsangrepp, kallat "CRIME", gjorde det möjligt för tjuvlyssnare att samla information för att förvärva den ursprungliga klartexten i protokollet. Denna uppdatering av nginx deaktiverar SSL-komprimering.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 1.4.28-2+squeeze1.2.

För uttestningsutgåvan (wheezy), and the instabila utgåvan (Sid) har dessa problem rättats i version 1.4.30-1.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.