Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 6 (14.02.2014):
lighttpd ist in den Distributionen Fedora 19 und Fedora 20 auf die Version
1.4.34 aktualisiert worden. Die OpenSSL Schwachstelle weiterhin nicht
gepatched worden.
Version 5 (07.02.2014):
Es sind nun Sicherheitsupdates für Fedora 19, Fedora 20 und Fedora EPEL 5
und 6 verfügbar. Die OpenSSL-Schwachstelle ist von den Fedora-Updates
jedoch nicht abgedeckt.
Version 4 (28.01.2014):
Es sind Sicherheitsupdates für SUSE Linux Enterprise Software Development
Kit 11 SP3, SP2 sowie SUSE Linux Enterprise High Availability Extension 11
SP3, SP2 erschienen.
Version 3 (16.01.2014):
Es sind Sicherheitsupdates für die Distributionen openSUSE 12.2, 12.3 und
13.1 erscheinen.
Version 2 (18.11.2013):
Durch das lighthttpd-Update, über das mittels Debian Advisory DSA-2795-1
informiert wurde, waren SSL-Verbindungen mit Client Zertifikaten nicht
mehr möglich. Diese Schwachstelle ist nun behoben und Client Zertifikate
können wieder für SSL-Verbindungen genutzt werden.
Version 1 (15.11.2013):
Neues Advisory
Betroffene Software:
lighttpd <= 1.4.33 Novell SUSE Linux Enterprise High Availability Extension 11 SP2 Enterprise Novell SUSE Linux Enterprise High Availability Extension 11 SP3 Enterprise SuSE SUSE Linux Enterprise Software Development Kit 11 SP2 Enterprise SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Betroffene Plattformen: Debian Linux <= 6.0.8 Squeeze Debian Linux 7.3 Wheezy openSUSE 12.2 openSUSE 12.3 openSUSE 13.1 Red Hat Fedora 19 Red Hat Fedora 20 Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Mehrere Schwachstellen in lighttpd ermöglichen einem entfernten, nicht authentifizierten Angreifer sensible Informationen auszulesen, einen Denial-of-Service-Angriff durchzuführen oder beliebige Befehle mit den Rechten des Benutzers auszuführen. Es sind Sicherheitsupdates für Fedora 19 und 20 sowie Fedora EPEL 5 und 6 verfügbar, die OpenSSL-Schwachstelle ist von diesen jedoch nicht abgedeckt. Update: lighttpd ist in den Distributionen Fedora 19 und Fedora 20 auf die Version 1.4.34 aktualisiert worden. Die OpenSSL Schwachstelle weiterhin nicht gepatched worden. Patch: Debian Security Advisory DSA-2795-1 http://lists.debian.org/debian-security-announce/2013/msg00207.html
Patch:
Debian Security Advisory DSA-2795-2
http://lists.debian.org/debian-security-announce/2013/msg00210.html
Patch:
openSUSE Security Update openSUSE-SU-2014:0072-1
http://lists.opensuse.org/opensuse-updates/2014-01/msg00049.html
Patch:
SUSE Security Update SUSE-SU-2014-0050-1
https://www.suse.com/support/update/announcement/2014/suse-su-20140050-1.html
Patch:
Fedora Update FEDORA-2014-2123
https://admin.fedoraproject.org/updates/FEDORA-2014-2123/lighttpd-1.4.34-1.fc19
Patch:
Fedora Update FEDORA-2014-2135
https://admin.fedoraproject.org/updates/FEDORA-2014-2135/lighttpd-1.4.34-1.fc20
Patch:
Fedora Hersteller-Advisory
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0471/lighttpd-1.4.34-1.el5.1
Patch:
Fedora Hersteller-Advisory
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0465/lighttpd-1.4.34-1.el6
Patch:
Fedora Update FEDORA-2014-2506
https://admin.fedoraproject.org/updates/FEDORA-2014-2506/lighttpd-1.4.34-3.fc19
Patch:
Fedora Update FEDORA-2014-2495
https://admin.fedoraproject.org/updates/FEDORA-2014-2495/lighttpd-1.4.34-3.fc20
CVE-2013-4560: Schwachstelle in lighttpd
Eine Schwachstelle in lighttpd im Zusammenhang mit dem Parameter “fam” führt
dazu, dass Directory-Informationen nicht richtig verarbeitet werden und
Speicher zu früh freigegeben wird. Ein entfernter, nicht authentifizierter
Angreifer kann durch nicht näher beschriebene Aktionen einen
Denial-of-Service-Angriff durchführen.
CVE-2013-4559: Schwachstelle in lighttpd
Eine Schwachstelle in lighttpd führt dazu, dass die Rückgabewerte von
setuid, setgid und setgroups nicht korrekt geprüft werden. Ein lokaler,
nicht authentifizierter Angreifer kann durch Ausnutzen dieser Schwachstelle
beliebige Befehle mit den Rechten des Dienstes ausführen.
CVE-2013-4508: Schwachstelle in lighttpd
Eine Schwachstelle in lighttpd, wenn SNI eingeschaltet ist, führt dazu, dass
schwächere SSL-Verschlüsselungen genutzt werden. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch die Verschlüsselung einfacher
brechen und sensible Informationen erlangen oder weiterführende Angriffe
durchführen.
CVE-2011-1473: Schwachstelle in OpenSSL
In OpenSSL vor Version 0.9.8l ist eine Denial of Service-Schwachstelle
enthalten. Bei einem SSL/TLS Handshake benötigt der SSL-Server mehr als das
Zehnfache der vom SSL-Client benötigten Rechenressourcen. Dieser Handshake
wird durch einen ‘Renegotiation Request’ des Clients ausgelöst; ein
OpenSSL-Server aber lässt beliebig viele ‘Renegotiation Requests’ zu.
Dadurch ist es einem entfernten Angreifer, der eine SSL-Verbindung aufgebaut
hat, möglich, den Server zum Absturz bringen, indem er sehr viele
‘Renegotiation Requests’ erzeugt (bis zu ca. 1000 pro Sekunde). Ein Exploit,
der diese Schwachstelle ausnutzt, ist veröffentlicht worden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1928/
Schwachstelle CVE-2013-4508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4508
Schwachstelle CVE-2013-4559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4559
Schwachstelle CVE-2013-4560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4560
Debian Security Advisory DSA-2795-1 :
http://lists.debian.org/debian-security-announce/2013/msg00207.html
Debian Security Advisory DSA-2795-2:
http://lists.debian.org/debian-security-announce/2013/msg00210.html
openSUSE Security Update openSUSE-SU-2014:0072-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00049.html
Schwachstelle CVE-2011-1473 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1473
SUSE Security Update SUSE-SU-2014-0050-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140050-1.html
Fedora Update FEDORA-2014-2123:
https://admin.fedoraproject.org/updates/FEDORA-2014-2123/lighttpd-1.4.34-1.fc19
Fedora Update FEDORA-2014-2135:
https://admin.fedoraproject.org/updates/FEDORA-2014-2135/lighttpd-1.4.34-1.fc20
Fedora Hersteller-Advisory:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0471/lighttpd-1.4.34-1.el5.1
Fedora Hersteller-Advisory:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-0465/lighttpd-1.4.34-1.el6
Fedora Update FEDORA-2014-2506:
https://admin.fedoraproject.org/updates/FEDORA-2014-2506/lighttpd-1.4.34-3.fc19
Fedora Update FEDORA-2014-2495:
https://admin.fedoraproject.org/updates/FEDORA-2014-2495/lighttpd-1.4.34-3.fc20
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
