Debians sikkerhedsbulletin
DSA-2795-2 lighttpd -- flere sårbarheder
- Rapporteret den:
- 17. nov 2013
- Berørte pakker:
- lighttpd
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 729453, Fejl 729480.
I Mitres CVE-ordbog: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i webserveren lighttpd.
Man opdagede at SSL-forbindelser med klientcertifikater holdt op med at virke efter DSA-2795-1-opdateringen af lighttpd. En opstrømsrettelse er nu blevet metaget, hvilken leverer en passende identifikation til klientcertifikatvalidering.
- CVE-2013-4508
Man opdagede at lighttpd anvendte svage SSL-ciphers når SNI (Server Name Indication) er aktiveret. Problemet blev løst ved at sikre, at stærktere SSL-ciphers benyttes når SNI er valgt.
- CVE-2013-4559
Det statiske analyseringsværktøj clang blev anvendt til at opdage rettighedsforøgelsesproblemer på grund af manglende kontroller i forbindelse med lighttpd's setuid-, setgid- og setgroups-kald. De kontrolleres nu på passende vis.
- CVE-2013-4560
Det statiske analyseringsværktøj clang blev anvendt til at opdagede et problem i forbindelse med anvendelse efter frigivelse, når en FAM-statcachemotor er aktiveret, hvilket nu er rettet.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.5.
I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.31-4+deb7u2.
I distributionen testing (jessie), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version lighttpd_1.4.33-1+nmu1.
I distributionen testing (jessie) og i den ustabile distributions (sid), vil regressionsproblemet snart blive rettet.
Vi anbefaler at du opgraderer dine lighttpd-pakker.
- CVE-2013-4508