Sikkerhedsoplysninger / 2014 / Sikkerhedsoplysninger -- DSA-2877-1 lighttpd

Debians sikkerhedsbulletin

DSA-2877-1 lighttpd -- sikkerhedsopdatering

Rapporteret den:

12. mar 2014

Berørte pakker:

lighttpd

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 741493.
I Mitres CVE-ordbog: CVE-2014-2323, CVE-2014-2324.

Yderligere oplysninger:

Flere sårbarheder blev opdaget i webserveren lighttpd.

• CVE-2014-2323

  Jann Horn opdagede at særligt fremstillede værtsnavne kunne anvendes til at indsprøjte vilkårlige MySQL-forespørgsler på lighttpd-servere, som benytter det virtuelle MySQL-hostingmodel (mod_mysql_vhost).

  Det påvirker kun installationer, hvor den binære pakke lighttpd-mod-mysql-vhost er installeret og i brug.

• CVE-2014-2324

  Jann Horn opdagede at særligt fremstillede værtsnavne kunne anvendes til at bevæge sig uden for dokumentroden i visse situationer på lighttpd-servere, der anvender et af de virtuelle hostingmoduler mod_mysql_vhost, mod_evhost eller mod_simple_vhost.

  Servere, der ikke anvender disse moduler, er ikke påvirkede.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 1.4.28-2+squeeze1.6.

I den stabile distribution (wheezy), er disse problemer rettet i version 1.4.31-4+deb7u3.

I distributionen testing (jessie), vil disse problemer snart blive rettet.

I den ustabile distribution (sid), er disse problemer rettet i version 1.4.33-1+nmu3.

Vi anbefaler at du opgraderer dine lighttpd-pakker.