Open Source im professionellen Einsatz

DFN-CERT-2017-0488 lighttpd: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE]

20.03.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

lighttpd


Betroffene Plattformen:

SUSE Linux Enterprise High Availability 12 SP1
SUSE Linux Enterprise High Availability 12 SP2
SUSE Linux Enterprise High Availability Extension 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server for SAP 11 SP4
SUSE Linux Enterprise Server for SAP 12



Zwei Schwachstellen in lighttpd ermöglichen einem entfernten, nicht
authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen
('httpoxy'-Problem) sowie das Manipulieren von Dateien.

Für die SUSE Linux Enterprise Produkte Server for SAP 11 SP4 und 12,
Software Development Kit 11 SP4, Debuginfo 11 SP4 sowie für High
Availability Extension 11 SP4, High Availability 12 SP1 und 12 SP2 stehen
aktualisierte 'lighttpd'-Pakete als Sicherheitsupdates bereit.


Patch:

SUSE Security Update SUSE-SU-2017:0728-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-March/002709.html>

Patch:

SUSE Security Update SUSE-SU-2017:0731-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-March/002711.html>


CVE-2016-1000212: "Schwachstelle" in lighttpd ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der lighttpd-Webserver bis inklusive Version 1.4.40 ist konform zu RFC 3875
Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem
HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen
beliebigen Proxy-Server umzuleiten ('httpoxy'-Problem). HINWEIS: Der
Hersteller weist darauf hin, dass CVE-2016-1000212 kein Sicherheitsproblem
von lighttpd ist. Das angebotene Update führt eine zusätzliche Schutzebene
für die Verwendung der nicht vertrauenswürdigen Umgebungsvariable ein. Ein
entfernter, nicht authentifizierter Angreifer kann Sicherheitsvorkehrungen
umgehen.


CVE-2015-3200: Schwachstelle in lighttpd ermöglicht das Manipulieren von
Dateien

Das Modul mod_auth von lighttpd erlaubt es, beliebige Einträge in der
Protokollierung über eine Zeichenkette ohne Doppelpunkt für die Basic
HTTP-Authentifizierungsmethode zu erzeugen. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um das
Protokoll zu manipulieren.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0488/>

Schwachstelle CVE-2015-3200 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3200>

Schwachstelle CVE-2016-1000212 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1000212>

SUSE Security Update SUSE-SU-2017:0728-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-March/002709.html>

SUSE Security Update SUSE-SU-2017:0731-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-March/002711.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.