UPDATE: DFN-CERT-2013-1928 lighttp: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2013-1928 lighttp: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (28.01.2014):
Es sind Sicherheitsupdates für SUSE Linux Enterprise Software Development
Kit 11 SP3, SP2 sowie SUSE Linux Enterprise High Availability Extension 11
SP3, SP2 erschienen.
Version 3 (16.01.2014):
Es sind Sicherheitsupdates für die Distributionen openSUSE 12.2, 12.3 und
13.1 erscheinen.
Version 2 (18.11.2013):
Durch das lighthttpd-Update, über das mittels Debian Advisory DSA-2795-1
informiert wurde, waren SSL-Verbindungen mit Client Zertifikaten nicht
mehr möglich. Diese Schwachstelle ist nun behoben und Client Zertifikate
können wieder für SSL-Verbindungen genutzt werden.
Version 1 (15.11.2013):
Neues Advisory

Betroffene Software:

lighthttpd <= 1.4.33 SUSE Linux Enterprise High Availability Extension 11 SP2 Enterprise SUSE Linux Enterprise High Availability Extension 11 SP3 Enterprise SuSE SUSE Linux Enterprise Software Development Kit 11 SP2 Enterprise SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise Betroffene Plattformen: Debian Linux <= 6.0.8 Squeeze Debian Linux 7.3 Wheezy openSUSE 12.2 openSUSE 12.3 openSUSE 13.1 Mehrere Schwachstellen in lighttpd ermöglichen einem entfernten, nicht authentifizierten Angreifer sensilbe Informationen auszulesen, einen Denial-of-Service-Angriff durchzuführen oder beliebige Befehle mit den Rechten des Benutzers auszuführen. Patch: Debian Security Advisory DSA-2795-1 http://lists.debian.org/debian-security-announce/2013/msg00207.html

Patch:

Debian Security Advisory DSA-2795-2

http://lists.debian.org/debian-security-announce/2013/msg00210.html

Patch:

openSUSE Security Update openSUSE-SU-2014:0072-1

http://lists.opensuse.org/opensuse-updates/2014-01/msg00049.html

Patch:

SUSE Security Update SUSE-SU-2014-0050-1

https://www.suse.com/support/update/announcement/2014/suse-su-20140050-1.html

CVE-2013-4560: Schwachstelle in lighthttpd

Eine Schwachstelle in lighthttpd im Zusammenhang mit dem Parameter “fam”
führt dazu, dass Directory-Informationen nicht richtig verarbeitet werden
und Speicher zu früh freigegeben wird. Ein entfernter, nicht
authentifizierter Angreifer kann durch nicht näher beschriebene Aktionen
einen Denial-of-Service-Angriff durchführen.

CVE-2013-4559: Schwachstelle in lighthttpd

Eine Schwachstelle in lighthttpd führt dazu, dass die Rückgabewerte von
setuid, setgid und setgroups nicht korrekt geprüft werden. Ein lokaler,
nicht authentifizierter Angreifer kann durch Ausnutzen dieser Schwachstelle
beliebige Befehle mit den Rechten des Dienstes ausführen.

CVE-2013-4508: Schwachstelle in lighthttpd

Eine Schwachstelle in lighthttpd, wenn SNI eingeschaltet ist, führt dazu,
dass schwächere SSL-Verschlüsselungen genutzt werden. Ein entfernter, nicht
authentifizierter Angreifer kann dadurch die Verschlüsselung einfacher
brechen und sensible Informationen erlangen oder weiterführende Angriffe
durchführen.

CVE-2011-1473: Schwachstelle in OpenSSL

In OpenSSL vor Version 0.9.8l ist eine Denial of Service-Schwachstelle
enthalten. Bei einem SSL/TLS Handshake benötigt der SSL-Server mehr als das
Zehnfache der vom SSL-Client benötigten Rechenressourcen. Dieser Handshake
wird durch einen ‘Renegotiation Request’ des Clients ausgelöst; ein
OpenSSL-Server aber lässt beliebig viele ‘Renegotiation Requests’ zu.
Dadurch ist es einem entfernten Angreifer, der eine SSL-Verbindung aufgebaut
hat, möglich, den Server zum Absturz bringen, indem er sehr viele
‘Renegotiation Requests’ erzeugt (bis zu ca. 1000 pro Sekunde). Ein Exploit,
der diese Schwachstelle ausnutzt, ist veröffentlicht worden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1928/

Schwachstelle CVE-2013-4508 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4508

Schwachstelle CVE-2013-4559 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4559

Schwachstelle CVE-2013-4560 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4560

Debian Security Advisory DSA-2795-1 :
http://lists.debian.org/debian-security-announce/2013/msg00207.html

Debian Security Advisory DSA-2795-2:
http://lists.debian.org/debian-security-announce/2013/msg00210.html

openSUSE Security Update openSUSE-SU-2014:0072-1:
http://lists.opensuse.org/opensuse-updates/2014-01/msg00049.html

Schwachstelle CVE-2011-1473 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1473

SUSE Security Update SUSE-SU-2014-0050-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20140050-1.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben