Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2795-2 lighttpd

Säkerhetsbulletin från Debian

DSA-2795-2 lighttpd -- flera sårbarheter

Rapporterat den:

2013-11-17

Berörda paket:

lighttpd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 729453, Fel 729480.
I Mitres CVE-förteckning: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560.

Ytterligare information:

Flera sårbarheter har upptäckts i webbservern lighttpd.

Det upptäcktes att SSL-anslutningar med klient-certifikat slutade fungera efter uppdateringen DSA-2795-1 av lighttpd. En uppströmspatch har nu applicerats som tillhandagåller den korrekta identifieraren för verifiering av klient-certifikat.

• CVE-2013-4508

  Man har upptäckts att lighttpd använder sig av svaga ssl-chiffer när SNI (Server Name Indication) är aktiverat. Detta problem löstes genom att säkerställa att starkare ssl-chiffer används när SNI är valt.

• CVE-2013-4559

  Den statiska analysatorn clang användes för att upptäcka problem med utökning av privilegier på grund av saknade kontroller runt lighttpd's setuid-, setgid-, och setgroups-anrop. Dessa kontrolleras nu korrekt.

• CVE-2013-4560

  Den statiska analysatorn clang används för att upptäcka ett användning-efter-frigörningsproblem när motorn för FAM stat cache är aktiverad, vilket nu är rättat.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.28-2+squeeze1.5.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.31-4+deb7u2.

För uttestningsutgåvan (Jessie) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version lighttpd_1.4.33-1+nmu1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid) kommer regressionsproblemet att rättas inom kort.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.