Информация по безопасности / 2014 / Информация о безопасности -- DSA-2877-1 lighttpd

Рекомендация Debian по безопасности

DSA-2877-1 lighttpd -- обновление безопасности

Дата сообщения:

12.03.2014

Затронутые пакеты:

lighttpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 741493.
В каталоге Mitre CVE: CVE-2014-2323, CVE-2014-2324.

Более подробная информация:

В веб-сервере lighttpd были обнаружены несколько уязвимостей.

• CVE-2014-2323

  Ян Хорн обнаружил, что специально сформированные имена узлов могут использоваться для добавления произвольных запросов MySQL на серверах lighttpd, использующих модуль виртуального хостинга MySQL (mod_mysql_vhost).

  Данная уязвимость актуальна только в том случае, если установлен и используется двоичный пакет lighttpd-mod-mysql-vhost.

• CVE-2014-2324

  Ян Хорн обнаружил, что специально сформированные имена узлов в определённых ситуациях могут использоваться для выхода за пределы корневого каталога сайта на серверах lighttpd, использующих модули виртуального хостинга mod_mysql_vhost, mod_evhost, или mod_simple_vhost.

  Серверы, не использующие данные модули, не подвержены указанной уязвимости.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.4.28-2+squeeze1.6.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.4.31-4+deb7u3.

В тестируемом выпуске (jessie) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.4.33-1+nmu3.

Рекомендуется обновить пакеты lighttpd.