• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности openSUSE-SU-2014:0449-1: обновление lighttpd

Главная Специалистам База уязвимостей Уведомление безопасности openSUSE-SU-2014:0449-1: обновление lighttpd

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
Версия lighttpd обновлена до 1.4.35; в ней устранены следующие ошибки и уязвимости:

   CVE-2014-2323: Внедрение SQL-кода в mod_mysql_vhost.c в lighttpd позволяет злоумышленникам, действующим удаленно, выполнить произвольные SQL-команды, используя имя узла. Данная уязвимость связана с request_check_hostname.

   CVE-2014-2323: Множественные обходы каталога в mod_evhost и mod_simple_vhost в lighttpd позволяют злоумышленникам, действующим удаленно, просматривать произвольные файлы, используя .. (точка точка) в имени узла. Данная уязвимость связана с request_check_hostname.

   Более подробную информацию можно найти на странице бюллетеня lighttpd:
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txthttp://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt />
   Другие изменения:
   * [network/ssl] исправление ошибки сборки при отключенном TLSEXT
   * [mod_fastcgi] устранение использования после освобождения (возникающего, только если активна отладка fastcgi)
   * [mod_rrdtool] исправление недопустимой операции чтения (строка не является нуль-терминированной)
   * [mod_dirlisting] устранение утечки памяти при отказе pcre
   * [mod_fastcgi,mod_scgi] устранение утечки ресурсов на порождающих бэкендах
   * [mod_magnet] устранение утечки памяти
   * добавление комментариев для "проходов при невыполнении условий" switch
   * удаление логического неиспользуемого кода
   * [buffer] исправление проверки длины в buffer_is_equal_right_len
   * устранение утечки ресурсов в случае ошибок при обработке конфигурации и инициализации
   * добавление force_assert() для утверждений, поскольку простые assert() отключены опцией -DNDEBUG (fixes #2546)
   * [mod_cml_lua] устранение проблемы с разыменованием нулевого указателя
   * force assertion: настройка FD_CLOEXEC должна работать (если доступно)
   * [network] проверка возвращаемого значения lseek()
   * устранение проблем с непроверенными возвращаемыми значениями stream_open/stat_cache_get_entry
   * [mod_webdav] исправление логической ошибки в обработке ошибки при создании файла
   * проверка длины имен файлов доменных сокетов unix
   * устранение проблемы с внедрением SQL-кода / проверкой имени узла
информацию по всем изменениям см. /usr/share/doc/packages/lighttpd/NEWS
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
openSUSE 13.1:
i586, x86_64:
lighttpd-mod_mysql_vhost - 1.4.35-2.9.1
lighttpd-debugsource - 1.4.35-2.9.1
lighttpd-mod_webdav - 1.4.35-2.9.1
lighttpd-mod_geoip-debuginfo - 1.4.35-2.9.1
lighttpd-mod_magnet - 1.4.35-2.9.1
lighttpd-mod_webdav-debuginfo - 1.4.35-2.9.1
lighttpd-mod_rrdtool-debuginfo - 1.4.35-2.9.1
lighttpd - 1.4.35-2.9.1
lighttpd-mod_magnet-debuginfo - 1.4.35-2.9.1
lighttpd-mod_cml - 1.4.35-2.9.1
lighttpd-mod_rrdtool - 1.4.35-2.9.1
lighttpd-mod_trigger_b4_dl-debuginfo - 1.4.35-2.9.1
lighttpd-mod_trigger_b4_dl - 1.4.35-2.9.1
lighttpd-mod_mysql_vhost-debuginfo - 1.4.35-2.9.1
lighttpd-debuginfo - 1.4.35-2.9.1
lighttpd-mod_geoip - 1.4.35-2.9.1
lighttpd-mod_cml-debuginfo - 1.4.35-2.9.1
openSUSE 12.3:
i586, x86_64:
lighttpd-mod_rrdtool - 1.4.35-6.9.1
lighttpd-mod_webdav-debuginfo - 1.4.35-6.9.1
lighttpd-debuginfo - 1.4.35-6.9.1
lighttpd-mod_trigger_b4_dl - 1.4.35-6.9.1
lighttpd-mod_webdav - 1.4.35-6.9.1
lighttpd-mod_magnet - 1.4.35-6.9.1
lighttpd-mod_cml - 1.4.35-6.9.1
lighttpd-debugsource - 1.4.35-6.9.1
lighttpd-mod_rrdtool-debuginfo - 1.4.35-6.9.1
lighttpd-mod_trigger_b4_dl-debuginfo - 1.4.35-6.9.1
lighttpd-mod_geoip - 1.4.35-6.9.1
lighttpd - 1.4.35-6.9.1
lighttpd-mod_geoip-debuginfo - 1.4.35-6.9.1
lighttpd-mod_magnet-debuginfo - 1.4.35-6.9.1
lighttpd-mod_cml-debuginfo - 1.4.35-6.9.1
lighttpd-mod_mysql_vhost - 1.4.35-6.9.1
lighttpd-mod_mysql_vhost-debuginfo - 1.4.35-6.9.1
Ссылки