• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уведомление безопасности SUSE-SU-2014:0474-1: обновление lighttpd

Главная Специалистам База уязвимостей Уведомление безопасности SUSE-SU-2014:0474-1: обновление lighttpd

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:P/I:P/A:P)
Производитель ПО
Описание
Обновление HTTP-сервера lighttpd, устраняющее следующие уязвимости:

   * CVE-2014-2323: Внедрение SQL-кода в mod_mysql_vhost.c в lighttpd позволяет злоумышленникам, действующим удаленно, выполнить произвольные SQL-команды, используя имя узла.
   * CVE-2014-2323: Множественные обходы каталога в mod_evhost и mod_simple_vhost в lighttpd позволяют злоумышленникам, действующим удаленно, просматривать произвольные файлы, используя .. (точка точка) в имени узла.

   Более подробную информацию можно найти на странице бюллетеня lighttpd:
http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txthttp://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt />    <http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt>http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt">http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2014_01.txt> />
   Ссылки на описания уязвимостей:

   * CVE-2014-2323
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323>http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2323> /> * CVE-2014-2324
<http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324">http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2324>
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
SUSE Linux Enterprise Software Development Kit 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd-mod_magnet - 1.4.20-2.54.1
lighttpd-mod_webdav - 1.4.20-2.54.1
lighttpd-mod_mysql_vhost - 1.4.20-2.54.1
lighttpd - 1.4.20-2.54.1
lighttpd-mod_rrdtool - 1.4.20-2.54.1
lighttpd-mod_trigger_b4_dl - 1.4.20-2.54.1
lighttpd-mod_cml - 1.4.20-2.54.1
SUSE Linux Enterprise High Availability Extension 11 SP3:
i586, ia64, ppc64, s390x, x86_64:
lighttpd - 1.4.20-2.54.1