Debians sikkerhedsbulletin

DSA-2795-2 lighttpd -- flere sårbarheder

Rapporteret den:
17. nov 2013
Berørte pakker:
lighttpd
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 729453, Fejl 729480.
I Mitres CVE-ordbog: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560.
Yderligere oplysninger:

Flere sårbarheder er opdaget i webserveren lighttpd.

Man opdagede at SSL-forbindelser med klientcertifikater holdt op med at virke efter DSA-2795-1-opdateringen af lighttpd. En opstrømsrettelse er nu blevet metaget, hvilken leverer en passende identifikation til klientcertifikatvalidering.

  • CVE-2013-4508

    Man opdagede at lighttpd anvendte svage SSL-ciphers når SNI (Server Name Indication) er aktiveret. Problemet blev løst ved at sikre, at stærktere SSL-ciphers benyttes når SNI er valgt.

  • CVE-2013-4559

    Det statiske analyseringsværktøj clang blev anvendt til at opdage rettighedsforøgelsesproblemer på grund af manglende kontroller i forbindelse med lighttpd's setuid-, setgid- og setgroups-kald. De kontrolleres nu på passende vis.

  • CVE-2013-4560

    Det statiske analyseringsværktøj clang blev anvendt til at opdagede et problem i forbindelse med anvendelse efter frigivelse, når en FAM-statcachemotor er aktiveret, hvilket nu er rettet.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.5.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.31-4+deb7u2.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version lighttpd_1.4.33-1+nmu1.

I distributionen testing (jessie) og i den ustabile distributions (sid), vil regressionsproblemet snart blive rettet.

Vi anbefaler at du opgraderer dine lighttpd-pakker.