Bulletin d'alerte Debian

DSA-2795-2 lighttpd -- Plusieurs vulnérabilités

Date du rapport :

17 novembre 2013

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 729453, Bogue 729480.
Dans le dictionnaire CVE du Mitre : CVE-2013-4508, CVE-2013-4559, CVE-2013-4560.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur web lighttpd.

Les connexions SSL avec des certificats clients ont arrêté de fonctionner après la mise à jour de lighttpd liée à la DSA-2795-1. Un patch de l'équipe amont a maintenant été appliqué, qui fournit un identifiant approprié pour la vérification du certificat client.

CVE-2013-4508
lighttpd utilise un chiffrement ssl faible lorsque SNI (Server Name Indication) est activé. Ce problème a été résolu en s'assurant que des chiffrements ssl plus forts sont utilisés lorsque SNI est choisi.
CVE-2013-4559
L'analyseur statique clang a été utilisé pour découvrir un problème d'augmentation de droits lié à l'absence de vérifications des appels setuid, setgid, et setgroups de lighttpd. Ceux-ci sont maintenant correctement vérifiés.
CVE-2013-4560
L'analyseur statique clang a été utilisé pour découvrir un problème d'utilisation de mémoire après libération lorsque le cache FAM stat est activé, ce qui est maintenant résolu.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.5.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.31-4+deb7u2.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version lighttpd_1.4.33-1+nmu1.

Pour la distribution testing (Jessie) et unstable (Sid), les problèmes de régressions seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets lighttpd.