Debians sikkerhedsbulletin

DSA-3642-1 lighttpd -- sikkerhedsopdatering

Rapporteret den:
5. aug 2016
Berørte pakker:
lighttpd
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 832571.
I Mitres CVE-ordbog: CVE-2016-1000212.
Yderligere oplysninger:

Dominic Scheirlinck og Scott Geary fra Vend rapporterede om usikker virkemåde i webserveren lighttpd. Lighttpd tildelte Proxy-headerværdier fra klientforespørgsler til interne HTTP_PROXY-miljøvariabler, hvilket gjorde det muligt for fjernangribere at iværksætte manden i midten-angreb (MITM) eller starte forbindelser til vilkårlige værter.

I den stabile distribution (jessie), er dette problem rettet i version 1.4.35-4+deb8u1.

Vi anbefaler at du opgraderer dine lighttpd-pakker.