• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-2795-1 lighttpd -- несколько уязвимостей

Главная Специалистам База уязвимостей DSA-2795-1 lighttpd -- несколько уязвимостей

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:C/I:C/A:C)
Производитель ПО
Описание
В веб-сервере lighttpd было обнаружено несколько уязвимостей.
Было обнаружено, что соединения SSL с клиентскими сертификатами
перестали работать после обновления DSA-2795-1 lighttpd. Была применена заплата из основной ветки
разработки, которая предоставляет соответствующий идентификатор для
проверки клиентского сертификата.

CVE-2013-4508
    Было обнаружено, что lighttpd использует нестойкое шифрование ssl при включённом SNI (Server
    Name Indication). Эта проблема была исправлена путём проверки того, что
    при выборе SNI используется более стойкое шифрование ssl.
CVE-2013-4559
    Для обнаружения проблем с повышением
    привилегий из-за отсутствующих проверок вызовов setuid, setgid и
    setgroups был использован статический анализатор clang. Теперь они проверяются правильно.
CVE-2013-4560
    Для обнаружения проблемы с использованием после освобождения
    при включённом движке кэша статистики FAM был использован статический анализатор clang, сейчас это исправлено.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.4.28-2+squeeze1.5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.31-4+deb7u2.
В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии lighttpd_1.4.33-1+nmu1.
В тестируемом (jessie) и нестабильном (sid) выпусках проблемы с регрессией
будет исправлены позже.
Мы рекомендуем обновить пакеты lighttpd.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
lighttpd - 1.4.28-2+squeeze1.4
lighttpd-doc - 1.4.28-2+squeeze1.4
lighttpd-mod-cml - 1.4.28-2+squeeze1.4
lighttpd-mod-magnet - 1.4.28-2+squeeze1.4
lighttpd-mod-mysql-vhost - 1.4.28-2+squeeze1.4
lighttpd-mod-trigger-b4-dl - 1.4.28-2+squeeze1.4
lighttpd-mod-webdav - 1.4.28-2+squeeze1.4
Debian GNU/Linux 7:
noarch:
lighttpd - 1.4.31-4+deb7u1
lighttpd-doc - 1.4.31-4+deb7u1
lighttpd-mod-cml - 1.4.31-4+deb7u1
lighttpd-mod-magnet - 1.4.31-4+deb7u1
lighttpd-mod-mysql-vhost - 1.4.31-4+deb7u1
lighttpd-mod-trigger-b4-dl - 1.4.31-4+deb7u1
lighttpd-mod-webdav - 1.4.31-4+deb7u1
Ссылки
http://www.debian.org/security/dsa-2795/

Источник: CVE
Наименование: CVE-2013-4560
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4560

Источник: CVE
Наименование: CVE-2013-4508
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4508

Источник: CVE
Наименование: CVE-2013-4559
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4559