Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
lighttpd
(any)
lighttpd-mod_cml
(any)
lighttpd-mod_magnet
(any)
lighttpd-mod_mysql_vhost
(any)
lighttpd-mod_rrdtool
(any)
lighttpd-mod_trigger_b4_dl
(any)
lighttpd-mod_webdav
(any)
Описание
Обновление HTTP-сервера lighttpd, устраняющее следующие уязвимости:
* CVE-2014-2323: Внедрение SQL-кода в mod_mysql_vhost.c в lighttpd позволяет злоумышленникам, действующим удаленно, выполнить произвольные SQL-команды, используя имя узла.
* CVE-2014-2323: Множественные обходы каталога в mod_evhost и mod_simple_vhost в lighttpd позволяют злоумышленникам, действующим удаленно, просматривать произвольные файлы, используя .. (точка точка) в имени узла.
Более подробную информацию можно найти на странице бюллетеня lighttpd:
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt
/> <http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt>
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt>
/>
Ссылки на описания уязвимостей:
* CVE-2014-2323
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323>
/> * CVE-2014-2324
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>
* CVE-2014-2323: Внедрение SQL-кода в mod_mysql_vhost.c в lighttpd позволяет злоумышленникам, действующим удаленно, выполнить произвольные SQL-команды, используя имя узла.
* CVE-2014-2323: Множественные обходы каталога в mod_evhost и mod_simple_vhost в lighttpd позволяют злоумышленникам, действующим удаленно, просматривать произвольные файлы, используя .. (точка точка) в имени узла.
Более подробную информацию можно найти на странице бюллетеня lighttpd:
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt
/> <http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt>
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt>
/>
Ссылки на описания уязвимостей:
* CVE-2014-2323
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323>
/> * CVE-2014-2324
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Software Development Kit 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd-mod_magnet - 1.4.20-2.54.1
lighttpd-mod_webdav - 1.4.20-2.54.1
lighttpd-mod_mysql_vhost - 1.4.20-2.54.1
lighttpd - 1.4.20-2.54.1
lighttpd-mod_rrdtool - 1.4.20-2.54.1
lighttpd-mod_trigger_b4_dl - 1.4.20-2.54.1
lighttpd-mod_cml - 1.4.20-2.54.1
SUSE Linux Enterprise High Availability Extension 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd - 1.4.20-2.54.1
SUSE Linux Enterprise Software Development Kit 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd-mod_magnet - 1.4.20-2.54.1
lighttpd-mod_webdav - 1.4.20-2.54.1
lighttpd-mod_mysql_vhost - 1.4.20-2.54.1
lighttpd - 1.4.20-2.54.1
lighttpd-mod_rrdtool - 1.4.20-2.54.1
lighttpd-mod_trigger_b4_dl - 1.4.20-2.54.1
lighttpd-mod_cml - 1.4.20-2.54.1
SUSE Linux Enterprise High Availability Extension 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd - 1.4.20-2.54.1
Ссылки
http://lists.opensuse.org/opensuse-security-announce/2014-04/msg00002.html
https://bugzilla.novell.com/867350
http://download.suse.com/patch/finder/?keywords=052dffefc1e084c898a83671a4359f4c
Источник: CVE
Наименование: CVE-2014-2324
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324
Источник: CVE
Наименование: CVE-2014-2323
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323
https://bugzilla.novell.com/867350
http://download.suse.com/patch/finder/?keywords=052dffefc1e084c898a83671a4359f4c
Источник: CVE
Наименование: CVE-2014-2324
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324
Источник: CVE
Наименование: CVE-2014-2323
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323