Säkerhetsinformation / 2014 / Säkerhetsinformation -- DSA-2877-1 lighttpd

Säkerhetsbulletin från Debian

DSA-2877-1 lighttpd -- säkerhetsuppdatering

Rapporterat den:

2014-03-12

Berörda paket:

lighttpd

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 741493.
I Mitres CVE-förteckning: CVE-2014-2323, CVE-2014-2324.

Ytterligare information:

Flera sårbarheter har upptäckts i webbservern lighttpd.

• CVE-2014-2323

  Jann Horn upptäckte att speciellt skapade värdnamn kan användas för att injicera skadliga MySQL-förfrågningar i lighttpd-servrar med hjälp av MySQL virtual hosting module (mod_mysql_vhost).

  Det påverkar endast installationer med det binära paketet lighttpd-mod-mysql-vhost installerat och i användning.

• CVE-2014-2324

  Jann Horn upptäckte att speciallt skapade värdnamn kan användas för att traversera utanför dokumentroten under vissa situationer i lighttpd-servrar som använder sig av de virtuella hostingmodulerna mod_mysql_vhost, mod_evhost eller mod_simple_vhost.

  Servrar som inte använder dessa moduler påverkas inte.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 1.4.28-2+squeeze1.6.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 1.4.31-4+deb7u3.

För uttestningsutgåvan (Jessie) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.4.33-1+nmu3.

Vi rekommenderar att ni uppgraderar era lighttpd-paket.