—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2008-4298 – Speicherleck in der lighttpd Funktion
http_request_parse()

Findet die Funktion http_request_parse() des lighttpd Daemons einen
Header mehrfach in einem HTTP-Request, wird der reservierte
Speicherplatz fuer den ersten Header nicht wieder freigegeben. Ein
Angreifer kann diese Schwachstelle ueber das Netz dazu ausnutzen,
saemtlichen Hauptspeicher auf dem System des lighttpd zu verbrauchen,
indem er HTTP-Requests mit mehrfachen Headern an den HTTP-Server
sendet (Denial of Service).

CVE-2008-4359 – Fehler in der Auswertung von url.redirect und
url.rewrite in lighttpd

Der lighttpd Daemon vergleicht die angeforderten URI bereits mit
denen in den Konfigurationsanweisungen “url.redirect” und “url.rewrite”
angegebenen Mustern, bevor die URIs dekodiert sind. Dies kann dazu
fuehren, das Zugriffskontrollen nicht greifen und entfernte Angreifer
moeglicherweise schreibenden Zugriff auf evtl. vertrauliche Daten
erhalten.

CVE-2008-4360 – Fehler bei der Auswertung von Dateinamenskomponenten in
lighttpd mod_userdir

Das lighttpd Modul mod_userdir beruecksichtigt in der Konfiguration
die Gross-/Kleinschreibung bei Dateinamenskomponenten (z.B. ist der
Suffix. “.PHP” nicht dasselbe wie “.php”). Bei Dateisystemen, die
selbst die Gross-/Kleinschreibung nicht beruecksichtigen, kann dies
dazu fuehren, dass die Zugriffskontrollen von mod_userdir nicht
greifen. Ein Angreifer kann diese Schwachstelle ueber das Netz dazu
ausnutzen, um an evtl. vertrauliche Daten zu gelangen.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket lighttpd

Fedora 9

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-February/msg00364.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT

– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

16. DFN-Workshop Sicherheit in vernetzten Systemen
https://www.dfn-cert.de/ws2009/

– ——————————————————————————–
Fedora Update Notification
FEDORA-2008-11923
2008-12-30 22:33:58
– ——————————————————————————–

Name : lighttpd
Product : Fedora 9
Version : 1.4.20
Release : 6.fc9
URL : http://www.lighttpd.net/
Summary : Lightning fast webserver with light system requirements
Description :
Secure, fast, compliant and very flexible web-server which has been optimized
for high-performance environments. It has a very low memory footprint compared
to other webservers and takes care of cpu-load. Its advanced feature-set
(FastCGI, CGI, Auth, Output-Compression, URL-Rewriting and many more) make
it the perfect webserver-software for every server that is suffering load
problems.

Available rpmbuild rebuild options :
– –with : gamin webdavprops webdavlocks memcache
– –without : ldap gdbm lua (cml)

– ——————————————————————————–
Update Information:

This update fixes some moderate security issues and includes a few enhancements.
– ——————————————————————————–
ChangeLog:

* Wed Dec 24 2008 Matthias Saou http://freshrpms.net/ 1.4.20-6
– – Partially revert last change by creating a “spawn-fastcgi” symlink, so that
nothing breaks currently (especially for EL).
– – Install empty poweredby image on RHEL since the symlink’s target is missing.
– – Split spawn-fcgi off in its own sub-package, have fastcgi package require it
to provide backwards compatibility.
* Mon Dec 22 2008 Matthias Saou http://freshrpms.net/ 1.4.20-3
– – Rename spawn-fastcgi to lighttpd-spawn-fastcgi to avoid clash with other
packages providing it for their own needs (#472749). It’s not used as-is
by lighttpd, so it shouldn’t be a problem… at worst, some custom scripts
will need to be updated.
* Mon Dec 22 2008 Matthias Saou http://freshrpms.net/ 1.4.20-2
– – Include conf.d/*.conf configuration snippets (#444953).
– – Mark the default index.html in order to not loose changes upon upgrade if it
was edited or replaced with a different file (#438564).
– – Include patch to add the INIT INFO block to the init script (#246973).
* Mon Oct 13 2008 Matthias Saou http://freshrpms.net/ 1.4.20-1
– – Update to 1.4.20 final.
* Mon Sep 22 2008 Matthias Saou http://freshrpms.net/ 1.4.20-0.1.r2303
– – Update to 1.4.20 r2303 pre-release.
* Mon Sep 22 2008 Matthias Saou http://freshrpms.net/ 1.4.19-5
– – Include memory leak patch (changeset #2305 from ticket #1774).
* Thu Apr 24 2008 Matthias Saou http://freshrpms.net/ 1.4.19-4
– – Merge in second changest from upstream fix for upstream bug #285.
* Thu Mar 27 2008 Matthias Saou http://freshrpms.net/ 1.4.19-3
– – Include sslshutdown patch, upstream fix to upstream bug #285 (#439066).
– ——————————————————————————–
References:

[ 1 ] Bug #464637 – CVE-2008-4298 lighttpd: memory leak http_request_parse() in request.c
https://bugzilla.redhat.com/show_bug.cgi?id=464637
[ 2 ] Bug #465751 – CVE-2008-4359 lighttpd: bypass of rewrite/redirect rules using encoded urls
https://bugzilla.redhat.com/show_bug.cgi?id=465751
[ 3 ] Bug #465752 – CVE-2008-4360 lighttpd: mod_userdir information disclosure on case-insensitve filesystems
https://bugzilla.redhat.com/show_bug.cgi?id=465752
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update lighttpd’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFJlX00k0kIxZMiiQ8RAmywAJ9/TnsKoA9G6NGVVN02aSwwKbyo9QCgn89z
ZVyIR2H1ujrfhTib1NI9y2I=
=j6o/
—–END PGP SIGNATURE—–