Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2877-1 lighttpd

Bulletin d'alerte Debian

DSA-2877-1 lighttpd -- Mise à jour de sécurité

Date du rapport :

12 mars 2014

Paquets concernés :

lighttpd

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 741493.
Dans le dictionnaire CVE du Mitre : CVE-2014-2323, CVE-2014-2324.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le serveur web lighttpd.

• CVE-2014-2323

  Jann Horn a découvert que des noms d'hôtes contrefaits pour l'occasion peuvent être utilisés pour injecter des requêtes MySQL arbitraires dans des serveurs lighttpd utilisant le module d'hôte virtuel de MySQL (mod_mysql_vhost).

  Cela affecte seulement les installations où le paquet binaire lighttpd-mod-mysql-vhost est installé et en service.

• CVE-2014-2324

  Jann Horn a découvert que des noms d'hôtes contrefaits pour l'occasion peuvent être utilisés pour traverser à l'extérieur du document racine, dans certaines situations, dans les serveurs lighttpd utilisant les modules d'hôte virtuel mod_mysql_vhost, mod_evhost ou mod_simple_vhost.

  Les serveurs qui n'utilisent pas ces modules ne sont pas affectés.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.4.28-2+squeeze1.6.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.4.31-4+deb7u3.

Pour la distribution testing (Jessie), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.4.33-1+nmu3.

Nous vous recommandons de mettre à jour vos paquets lighttpd.