Debian セキュリティ勧告

DSA-2795-2 lighttpd -- 複数の脆弱性

報告日時:

2013-11-17

影響を受けるパッケージ:

lighttpd

危険性:

あり

参考セキュリティデータベース:

詳細:

複数の欠陥が lighttpd ウェブサーバに発見されました。

DSA-2795-1 により lighttpd を更新した後に、クライアント証明書を利用した SSL 接続が機能しなくなっていることが発見されました。この更新により上流パッチが適用され、クライアント証明書検証用の適切な識別子を提供します。

CVE-2013-4508
lighttpd は SNI (Server Name Indication) が有効になっている場合に弱い ssl 暗号を利用していることが発見されました。この問題は SNI が有効になっている場合にもっと強い暗号を確実に利用することにより解決しています。
CVE-2013-4559
Clang Static Analyzer を使い、lighttpd の setuid、setgid、setgroups の呼び出し周りで確認不足により特権が昇格する問題を発見しました。現在は適切に確認するようになっています。
CVE-2013-4560
Clang Static Analyzer を使い、FAM 状態キャッシュエンジンが有効になっている場合にメモリを開放後に利用する問題を発見しました。現在は修正されています。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.28-2+squeeze1.5 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.31-4+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) ではこの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン lighttpd_1.4.33-1+nmu1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、このリグレッションは近く修正予定です。

直ちに lighttpd パッケージをアップグレードすることを勧めます。