Рекомендация Debian по безопасности

DSA-2877-1 lighttpd -- обновление безопасности

Дата сообщения:
12.03.2014
Затронутые пакеты:
lighttpd
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 741493.
В каталоге Mitre CVE: CVE-2014-2323, CVE-2014-2324.
Более подробная информация:

В веб-сервере lighttpd были обнаружены несколько уязвимостей.

  • CVE-2014-2323

    Ян Хорн обнаружил, что специально сформированные имена узлов могут использоваться для добавления произвольных запросов MySQL на серверах lighttpd, использующи модуль виртуального хостинга MySQL (mod_mysql_vhost).

    Данная уязвимость актуальна только в том случае, если установлен и используется двоичный пакет lighttpd-mod-mysql-vhost.

  • CVE-2014-2324

    Ян Хорн обнаружил, что специально сформированные имена узлов в определённых ситуациях могут использоваться для выхода за пределы корневого каталога сайта на сервера lighttpd, использующих модули виртуального хостинга mod_mysql_vhost, mod_evhost, или mod_simple_vhost.

    Серверы, не использующие данные модули, не подвержены указанной уязвимости.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.28-2+squeeze1.6.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.31-4+deb7u3.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.33-1+nmu3.

Рекомендуется обновить пакеты lighttpd.