Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3642-1 lighttpd

Säkerhetsbulletin från Debian

DSA-3642-1 lighttpd -- säkerhetsuppdatering

Rapporterat den:

2016-08-05

Berörda paket:

lighttpd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 832571.
I Mitres CVE-förteckning: CVE-2016-1000212.

Ytterligare information:

Dominic Scheirlinck och Scott Geary från Vend rapporterade osäkert beteende i webbservern lighttpd. Lighttpd tilldelade Proxy-rubrikvärden från klientförfrågningar till interna HTTP_PROXY-miljövariabler, vilket tillåter fjärrangripare att utföra man-in-the-middle-angrepp (MITM) eller initiera anslutningar till godtyckliga värdar.

För den stabila utgåvan (Jessie) har detta problem rättats i version 1.4.35-4+deb8u1.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.