Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

lighttpd <= 1.4.34 Betroffene Plattformen: Debian Linux 6.0.9 Squeeze Debian Linux 7.4 Wheezy Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um über spezielle Hostnamen beliebige SQL-Befehle in Anfragen einzuschleusen und in Verzeichnisse zu gelangen, auf die er keinen Zugriff haben sollte. Patch: Debian Security Advisory DSA-2877 http://www.debian.org/security/2014/dsa-2877

CVE-2014-2324: Ausbruch aus Dokumentenverzeichnis in lighttpd

Wenn die Module mod_mysql_vhost, mod_evhost oder mod_simple_vhost von
lighttpd für virtuelle Server benutzt werden, kann unter Angabe speziell
präparierter Hostnamen aus dem Dokumentenverzeichnis des Servers
ausgebrochen werden. Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle ausnutzen, um in Verzeichnisse zu gelangen, auf die er
keinen Zugriff haben sollte.

CVE-2014-2323: SQL Injection in lighttpd

Die Überprüfung von Hostnamen im Modul mod_mysql_vhost von lighttpd ist
unzureichend. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um über spezielle Hostnamen beliebige SQL-Befehle
in Anfragen einzuschleusen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0311/

Debian Security Advisory DSA-2877:
http://www.debian.org/security/2014/dsa-2877

Schwachstelle CVE-2014-2324 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2324

Schwachstelle CVE-2014-2323 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-2323

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.