Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2795-2 lighttpd

Debians sikkerhedsbulletin

DSA-2795-2 lighttpd -- flere sårbarheder

Rapporteret den:

17. nov 2013

Berørte pakker:

lighttpd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 729453, Fejl 729480.
I Mitres CVE-ordbog: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560.

Yderligere oplysninger:

Flere sårbarheder er opdaget i webserveren lighttpd.

Man opdagede at SSL-forbindelser med klientcertifikater holdt op med at virke efter DSA-2795-1-opdateringen af lighttpd. En opstrømsrettelse er nu blevet metaget, hvilken leverer en passende identifikation til klientcertifikatvalidering.

• CVE-2013-4508

  Man opdagede at lighttpd anvendte svage SSL-ciphers når SNI (Server Name Indication) er aktiveret. Problemet blev løst ved at sikre, at stærktere SSL-ciphers benyttes når SNI er valgt.

• CVE-2013-4559

  Det statiske analyseringsværktøj clang blev anvendt til at opdage rettighedsforøgelsesproblemer på grund af manglende kontroller i forbindelse med lighttpd's setuid-, setgid- og setgroups-kald. De kontrolleres nu på passende vis.

• CVE-2013-4560

  Det statiske analyseringsværktøj clang blev anvendt til at opdagede et problem i forbindelse med anvendelse efter frigivelse, når en FAM-statcachemotor er aktiveret, hvilket nu er rettet.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.5.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.31-4+deb7u2.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version lighttpd_1.4.33-1+nmu1.

I distributionen testing (jessie) og i den ustabile distributions (sid), vil regressionsproblemet snart blive rettet.

Vi anbefaler at du opgraderer dine lighttpd-pakker.