Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
lighttpd
(any)
lighttpd-doc
(any)
lighttpd-mod-cml
(any)
lighttpd-mod-magnet
(any)
lighttpd-mod-mysql-vhost
(any)
lighttpd-mod-trigger-b4-dl
(any)
lighttpd-mod-webdav
(any)
Описание
В веб-сервере lighttpd было обнаружено несколько уязвимостей.
Было обнаружено, что соединения SSL с клиентскими сертификатами
перестали работать после обновления DSA-2795-1 lighttpd. Была применена заплата из основной ветки
разработки, которая предоставляет соответствующий идентификатор для
проверки клиентского сертификата.
CVE-2013-4508
Было обнаружено, что lighttpd использует нестойкое шифрование ssl при включённом SNI (Server
Name Indication). Эта проблема была исправлена путём проверки того, что
при выборе SNI используется более стойкое шифрование ssl.
CVE-2013-4559
Для обнаружения проблем с повышением
привилегий из-за отсутствующих проверок вызовов setuid, setgid и
setgroups был использован статический анализатор clang. Теперь они проверяются правильно.
CVE-2013-4560
Для обнаружения проблемы с использованием после освобождения
при включённом движке кэша статистики FAM был использован статический анализатор clang, сейчас это исправлено.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.4.28-2+squeeze1.5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.31-4+deb7u2.
В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии lighttpd_1.4.33-1+nmu1.
В тестируемом (jessie) и нестабильном (sid) выпусках проблемы с регрессией
будет исправлены позже.
Мы рекомендуем обновить пакеты lighttpd.
Было обнаружено, что соединения SSL с клиентскими сертификатами
перестали работать после обновления DSA-2795-1 lighttpd. Была применена заплата из основной ветки
разработки, которая предоставляет соответствующий идентификатор для
проверки клиентского сертификата.
CVE-2013-4508
Было обнаружено, что lighttpd использует нестойкое шифрование ssl при включённом SNI (Server
Name Indication). Эта проблема была исправлена путём проверки того, что
при выборе SNI используется более стойкое шифрование ssl.
CVE-2013-4559
Для обнаружения проблем с повышением
привилегий из-за отсутствующих проверок вызовов setuid, setgid и
setgroups был использован статический анализатор clang. Теперь они проверяются правильно.
CVE-2013-4560
Для обнаружения проблемы с использованием после освобождения
при включённом движке кэша статистики FAM был использован статический анализатор clang, сейчас это исправлено.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в
версии 1.4.28-2+squeeze1.5.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 1.4.31-4+deb7u2.
В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии lighttpd_1.4.33-1+nmu1.
В тестируемом (jessie) и нестабильном (sid) выпусках проблемы с регрессией
будет исправлены позже.
Мы рекомендуем обновить пакеты lighttpd.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 6:
noarch:
lighttpd - 1.4.28-2+squeeze1.4
lighttpd-doc - 1.4.28-2+squeeze1.4
lighttpd-mod-cml - 1.4.28-2+squeeze1.4
lighttpd-mod-magnet - 1.4.28-2+squeeze1.4
lighttpd-mod-mysql-vhost - 1.4.28-2+squeeze1.4
lighttpd-mod-trigger-b4-dl - 1.4.28-2+squeeze1.4
lighttpd-mod-webdav - 1.4.28-2+squeeze1.4
Debian GNU/Linux 7:
noarch:
lighttpd - 1.4.31-4+deb7u1
lighttpd-doc - 1.4.31-4+deb7u1
lighttpd-mod-cml - 1.4.31-4+deb7u1
lighttpd-mod-magnet - 1.4.31-4+deb7u1
lighttpd-mod-mysql-vhost - 1.4.31-4+deb7u1
lighttpd-mod-trigger-b4-dl - 1.4.31-4+deb7u1
lighttpd-mod-webdav - 1.4.31-4+deb7u1
Debian GNU/Linux 6:
noarch:
lighttpd - 1.4.28-2+squeeze1.4
lighttpd-doc - 1.4.28-2+squeeze1.4
lighttpd-mod-cml - 1.4.28-2+squeeze1.4
lighttpd-mod-magnet - 1.4.28-2+squeeze1.4
lighttpd-mod-mysql-vhost - 1.4.28-2+squeeze1.4
lighttpd-mod-trigger-b4-dl - 1.4.28-2+squeeze1.4
lighttpd-mod-webdav - 1.4.28-2+squeeze1.4
Debian GNU/Linux 7:
noarch:
lighttpd - 1.4.31-4+deb7u1
lighttpd-doc - 1.4.31-4+deb7u1
lighttpd-mod-cml - 1.4.31-4+deb7u1
lighttpd-mod-magnet - 1.4.31-4+deb7u1
lighttpd-mod-mysql-vhost - 1.4.31-4+deb7u1
lighttpd-mod-trigger-b4-dl - 1.4.31-4+deb7u1
lighttpd-mod-webdav - 1.4.31-4+deb7u1
Ссылки
http://www.debian.org/security/dsa-2795/
Источник: CVE
Наименование: CVE-2013-4560
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4560
Источник: CVE
Наименование: CVE-2013-4508
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4508
Источник: CVE
Наименование: CVE-2013-4559
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4559
Источник: CVE
Наименование: CVE-2013-4560
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4560
Источник: CVE
Наименование: CVE-2013-4508
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4508
Источник: CVE
Наименование: CVE-2013-4559
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4559