Bulletin d'alerte Debian
DSA-3489-1 lighttpd -- Mise à jour de sécurité
- Date du rapport :
- 23 février 2016
- Paquets concernés :
- lighttpd
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 765702.
Dans le dictionnaire CVE du Mitre : CVE-2014-3566. - Plus de précisions :
-
Lighttpd, un petit serveur web, est vulnérable à l'attaque POODLE grâce à l'utilisation de SSLv3. Ce protocole est maintenant désactivé par défaut.
Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.4.31-4+deb7u4.
Nous vous recommandons de mettre à jour vos paquets lighttpd.