Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3642-1 lighttpd

Debians sikkerhedsbulletin

DSA-3642-1 lighttpd -- sikkerhedsopdatering

Rapporteret den:

5. aug 2016

Berørte pakker:

lighttpd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 832571.
I Mitres CVE-ordbog: CVE-2016-1000212.

Yderligere oplysninger:

Dominic Scheirlinck og Scott Geary fra Vend rapporterede om usikker virkemåde i webserveren lighttpd. Lighttpd tildelte Proxy-headerværdier fra klientforespørgsler til interne HTTP_PROXY-miljøvariabler, hvilket gjorde det muligt for fjernangribere at iværksætte manden i midten-angreb (MITM) eller starte forbindelser til vilkårlige værter.

I den stabile distribution (jessie), er dette problem rettet i version 1.4.35-4+deb8u1.

Vi anbefaler at du opgraderer dine lighttpd-pakker.