2013-1928: lighttpd: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten
Historie:
- Version 1 (2013-11-15 11:01)
- Neues Advisory
- Version 2 (2013-11-18 17:59)
- Durch das lighthttpd-Update, über das mittels Debian Advisory DSA-2795-1 informiert wurde, waren SSL-Verbindungen mit Client Zertifikaten nicht mehr möglich. Diese Schwachstelle ist nun behoben und Client Zertifikate können wieder für SSL-Verbindungen genutzt werden.
- Version 3 (2014-01-16 13:53)
- Es sind Sicherheitsupdates für die Distributionen openSUSE 12.2, 12.3 und 13.1 erscheinen.
- Version 4 (2014-01-28 18:10)
- Es sind Sicherheitsupdates für SUSE Linux Enterprise Software Development Kit 11 SP3, SP2 sowie SUSE Linux Enterprise High Availability Extension 11 SP3, SP2 erschienen.
- Version 5 (2014-02-07 12:28)
- Es sind nun Sicherheitsupdates für Fedora 19, Fedora 20 und Fedora EPEL 5 und 6 verfügbar. Die OpenSSL-Schwachstelle ist von den Fedora-Updates jedoch nicht abgedeckt.
- Version 6 (2014-02-14 12:07)
- lighttpd ist in den Distributionen Fedora 19 und Fedora 20 auf die Version 1.4.34 aktualisiert worden. Die OpenSSL Schwachstelle weiterhin nicht gepatched worden.
Betroffene Software
Entwicklung
Netzwerk
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in lighttpd ermöglichen einem entfernten, nicht authentifizierten Angreifer sensible Informationen auszulesen, einen Denial-of-Service-Angriff durchzuführen oder beliebige Befehle mit den Rechten des Benutzers auszuführen.
Es sind Sicherheitsupdates für Fedora 19 und 20 sowie Fedora EPEL 5 und 6 verfügbar, die OpenSSL-Schwachstelle ist von diesen jedoch nicht abgedeckt.
Update: lighttpd ist in den Distributionen Fedora 19 und Fedora 20 auf die Version 1.4.34 aktualisiert worden. Die OpenSSL Schwachstelle weiterhin nicht gepatched worden.
Schwachstellen:
CVE-2011-1473
Schwachstelle in OpenSSLCVE-2013-4508
Schwachstelle in lighttpdCVE-2013-4559
Schwachstelle in lighttpdCVE-2013-4560
Schwachstelle in lighttpd
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.