DFN-CERT-2013-0321 Schwachstellen in Lighttpd [Linux][Debian]

DFN-CERT-2013-0321 Schwachstellen in Lighttpd [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket lighttpd in Debian GNU/Linux 6.0 (squeeze) vor Version
1.4.28-2+squeeze1.2
Paket lighttpd in Debian GNU/Linux 7.0 (wheezy) vor Version 1.4.30-1
Paket lighttpd in Debian GNU/Linux unstable (sid) vor Version 1.4.30-1

Betroffene Plattformen:

Debian GNU/Linux 6.0 (squeeze)
Debian GNU/Linux 7.0 (wheezy)
Debian GNU/Linux unstable (sid)

Mehrere Schwachstellen im TLS-Protokoll können von einem Angreifer für
Man-In-The-Middle Angriffe ausgenutzt werden.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://security.debian.org/pool/updates/main/

CVE-2012-4929: Schwachstelle im TLS Protokoll 1.2 und früher

Das TLS Protokoll 1.2 und früher erlaubt die Verschlüsselung zuvor
komprimierter Daten ohne die Länge der unverschlüsselten Daten richtig zu
verbergen. Diese Schwachstelle kann über Man-in-the-middle Angriffe
ausgenutzt werden, um Klartextinhalte in einem HTTP-Header, z.B.
Session-Cookies, zu erschließen (Compression Ratio Info-leak Made Easy- oder
CRIME-Attack).

CVE-2009-3555: Designschwäche im SSLv3/TLSv1 Protokoll bei der Renegotiation

Bei der Neuaushandlung von Parametern in einer SSL- oder TLS-Session
(Renegotiation) wird das Client Zertifikat geprüft. Allerdings ist es
aufgrund einer Schwachstelle im TLS-Protokoll unter Umständen möglich, dass
vorher beliebige Daten in die TLS-Session eingeschleust werden. Dies
ermöglicht Man-in-the-Middle Angriffe auf die TLS-Session. Beim
HTTPS-Protokoll kann ein Angreifer so den HTTP-Request des Benutzers
fälschen. Dies kann ein Angreifer dazu ausnutzen, um an vertrauliche Daten
zu gelangen, Operationen mit den Rechten des Benutzers auf dem Server
auszuführen oder dem Benutzer falsche Informationen anzuzeigen. Diese
Schwachstelle wird bereits aktiv von Angreifern ausgenutzt. RFC 5746
(Transport Layer Security (TLS) Renegotiation Indication Extension)
erweitert das TLS-Protokoll um diese Schwachstelle zu beheben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0321/

Das Hersteller Advisory:
http://www.debian.org/security/2013/dsa-2626

Schwachstelle CVE-2009-3555:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555

Schwachstelle CVE-2012-4929:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben