Информация по безопасности / 2013 / Информация о безопасности -- DSA-2795-2 lighttpd

Рекомендация Debian по безопасности

DSA-2795-2 lighttpd -- несколько уязвимостей

Дата сообщения:

17.11.2013

Затронутые пакеты:

lighttpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 729453, Ошибка 729480.
В каталоге Mitre CVE: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560.

Более подробная информация:

В веб-сервере lighttpd было обнаружено несколько уязвимостей.

Было обнаружено, что соединения SSL с клиентскими сертификатами перестали работать после обновления DSA-2795-1 lighttpd. Была применена заплата из основной ветки разработки, которая предоставляет соответствующий идентификатор для проверки клиентского сертификата.

• CVE-2013-4508

  Было обнаружено, что lighttpd использует нестойкое шифрование ssl при включённом SNI (Server Name Indication). Эта проблема была исправлена путём проверки того, что при выборе SNI используется более стойкое шифрование ssl.

• CVE-2013-4559

  Для обнаружения проблем с повышением привилегий из-за отсутствующих проверок вызовов setuid, setgid и setgroups был использован статический анализатор clang. Теперь они проверяются правильно.

• CVE-2013-4560

  Для обнаружения проблемы с использованием после освобождения при включённом движке кэша статистики FAM был использован статический анализатор clang, сейчас это исправлено.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.28-2+squeeze1.5.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.31-4+deb7u2.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии lighttpd_1.4.33-1+nmu1.

В тестируемом (jessie) и нестабильном (sid) выпусках проблемы с регрессией будет исправлены позже.

Мы рекомендуем обновить пакеты lighttpd.