セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2877-1 lighttpd

Debian セキュリティ勧告

DSA-2877-1 lighttpd -- セキュリティ更新

報告日時:

2014-03-12

影響を受けるパッケージ:

lighttpd

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 741493.
Mitre の CVE 辞書: CVE-2014-2323, CVE-2014-2324.

詳細:

複数の脆弱性が lighttpd ウェブサーバに発見されました。

• CVE-2014-2323

  Jann Horn さんが、特別に細工したホスト名を利用して、MySQL バーチャルホストモジュール (mod_mysql_vhost) を利用している lighttpd サーバに任意の MySQL クエリーを差し込めることを発見しました。

  これは lighttpd-mod-mysql-vhost バイナリパッケージをインストールして使っている場合にのみ影響します。

• CVE-2014-2324

  Jann Horn さんが、lighttpd サーバで mod_mysql_vhost、mod_evhost、 mod_simple_vhost のバーチャルホストモジュールのどれかを利用している特定の状況下で、 特別に細工したホスト名を利用してドキュメントルート外にアクセスできることを発見しました。

  当該モジュールを利用していないサーバには影響はありません。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.4.28-2+squeeze1.6 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.4.31-4+deb7u3 で修正されています。

テスト版 (testing) ディストリビューション (jessie) ではこの問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.4.33-1+nmu3 で修正されています。

直ちに lighttpd パッケージをアップグレードすることを勧めます。