DFN-CERT-2016-1244 lighttpd: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation [Linux][Fedora]

DFN-CERT-2016-1244 lighttpd: Mehrere Schwachstellen ermöglichen u.a. eine Privilegieneskalation [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

lighttpd < 1.4.41 Betroffene Plattformen: Red Hat Fedora 23 Red Hat Fedora 24 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Eine Schwachstelle in lighttpd ermöglicht einem entfernten, einfach authentifizierten Angreifer das Darstellen falscher Informationen. Mehrere weitere Schwachstellen können von einem entfernten, nicht authentifizierten Angreifer möglicherweise für Cross-Site-Scripting (XSS)-Angriffe, zur Eskalation von Privilegien und zum Umgehen von Sicherheitsvorkehrungen ausgenutzt werden. Der Hersteller stellt die Version lighttpd 1.4.41 bereit, um die Schwachstellen zu beheben. Zu den referenzierten Schwachstellen gehört auch das unter dem Namen 'httpoxy' bekannte Problem, das auf nicht eindeutigen Umgebungsvariablennamen basiert. Für Fedora 23 und 24 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates für lighttpd auf Version 1.4.41 im Status 'testing' bereit. Die bisherigen Sicherheitsupdates auf Version 1.4.40 (FEDORA-2016-d26a51a6a2, FEDORA-2016-197a01f756 und FEDORA-EPEL-2016-dbaaa35f43) befinden sich damit im Status 'obsolete'. Patch: Fedora Security Update FEDORA-2016-07e9059072 (Fedora 24, lighttpd-1.4.41-1) https://bodhi.fedoraproject.org/updates/FEDORA-2016-07e9059072

Patch:

Fedora Security Update FEDORA-2016-9de7253cc7 (Fedora 23, lighttpd-1.4.41-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-9de7253cc7

Patch:

Fedora Security Update FEDORA-EPEL-2016-905a05c10e (Fedora EPEL 6,
lighttpd-1.4.41-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-905a05c10e

Patch:

Fedora Security Update FEDORA-EPEL-2016-cfff493617 (Fedora EPEL 7,
lighttpd-1.4.41-1)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-cfff493617

Patch:

Release Notes lighttpd 1.4.41

https://www.lighttpd.net/2016/7/31/1.4.41/

LIGHTTPD-BUG-ID-2725: Schwachstelle in lighttp ermöglicht
Privilegieneskalation

Durch einen Programmierfehler in lighttpd kann es vorkommen, dass der
Prozess der Administratorengruppe ‘root’ (gid = 0) zugeordnet wird, falls
‘server.username’ gesetzt ist. Ein entfernter, nicht authentifizierten
Angreifer kann diese Schwachstelle durch weitere Angriffe möglicherweise
ausnutzen, um seine Privilegien zu eskalieren.

LIGHTTPD-BUG-ID-2724: Schwachstelle in lighttp ermöglicht Darstellen
falscher Informationen

In lighttpd vor Version 1.4.41 kann es zu einem einfach auszunutzenden
kritischen Wettlauf während der Zwischenspeicherung von Anfragen (Caching)
kommen, wenn ‘follow_symlinks’ deaktiviert ist, da die ‘stat cache’-Engine
eine Sekunde lang zwischenspeichert. Ein entfernter, einfach
authentifizierter Angreifer mit erweiterten Privilegien kann eine
‘Time-of-check, time-of-use’ (TOCTOU) Wettlaufsituation ausnutzen, um
Dateien zwischen Prüfungs- und Ausgabeanfrage zu manipulieren und dadurch
falsche Informationen darstellen.

LIGHTTPD-1-4-41-A: Schwachstelle in lighttp ermöglicht
Cross-Site-Scripting-Angriff

Eine nicht näher spezifizierte Schwachstelle in lighttpd im Zusammenhang mit
der Kodierung von Anführungszeichen in HTML und XML ermöglicht einem
entfernten, nicht authentifizierten Angreifer möglicherweise einen
Cross-Site-Scripting (XSS)-Angriff.

CVE-2016-1000212: “Schwachstelle” in lighttpd ermöglicht Umgehen von
Sicherheitsvorkehrungen

Der lighttpd-Webserver bis inklusive Version 1.4.40 ist konform zu RFC 3875
Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht
vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen.
Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem
HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen
beliebigen Proxy-Server umzuleiten (“httpoxy”-Problem). HINWEIS: Der
Hersteller weist darauf hin, dass CVE-2016-1000212 kein Sicherheitsproblem
von lighttpd ist. Das angebotene Update führt eine zusätzliche Schutzebene
für die Verwendung der nicht vertrauenswürdigen Umgebungsvariable ein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1244/

Red Hat Bug 13660638 (CVE-2016-1000212):
https://bugzilla.redhat.com/show_bug.cgi?id=1360638

Fedora Security Update FEDORA-2016-07e9059072 (Fedora 24, lighttpd-1.4.41-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-07e9059072

Fedora Security Update FEDORA-2016-9de7253cc7 (Fedora 23, lighttpd-1.4.41-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-9de7253cc7

Fedora Security Update FEDORA-EPEL-2016-905a05c10e (Fedora EPEL 6,
lighttpd-1.4.41-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-905a05c10e

Fedora Security Update FEDORA-EPEL-2016-cfff493617 (Fedora EPEL 7,
lighttpd-1.4.41-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-cfff493617

Release Notes lighttpd 1.4.41:
https://www.lighttpd.net/2016/7/31/1.4.41/

Lighttpd Bug #2724:
https://redmine.lighttpd.net/issues/2724

Lighttpd Bug #2725:
https://redmine.lighttpd.net/issues/2725

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben