Информация по безопасности / 2016 / Информация о безопасности -- DSA-3642-1 lighttpd

Рекомендация Debian по безопасности

DSA-3642-1 lighttpd -- обновление безопасности

Дата сообщения:

05.08.2016

Затронутые пакеты:

lighttpd

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 832571.
В каталоге Mitre CVE: CVE-2016-1000212.

Более подробная информация:

Доминик Шайрлинк и Скотт Гири из Vend сообщили о небезопасном поведении веб-сервера lighttpd. Lighttpd назначает значения заголовка Proxy из клиентских запросов внутренним переменным окружения HTTP_PROXY, позволяя удалённым злоумышленникам осуществлять атаки по принципу человек-в-середине (MITM) или инициализировать соединения к произвольным узлам.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 1.4.35-4+deb8u1.

Рекомендуется обновить пакеты lighttpd.