Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3642-1 lighttpd

Bulletin d'alerte Debian

DSA-3642-1 lighttpd -- Mise à jour de sécurité

Date du rapport :

5 août 2016

Paquets concernés :

lighttpd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 832571.
Dans le dictionnaire CVE du Mitre : CVE-2016-1000212.

Plus de précisions :

Dominic Scheirlinck et Scott Geary de Vend ont signalé un comportement non sûr du serveur web lighttpd. Lighttpd assignait aux variables d'environnement internes HTTP_PROXY les valeurs d'en-tête du mandataire à partir des requêtes du client, permettant à des attaquants distants de porter des attaques de type « homme du milieu » (MITM) ou d'initier des connexions à des hôtes arbitraires.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 1.4.35-4+deb8u1.

Nous vous recommandons de mettre à jour vos paquets lighttpd.