Увидел свет релиз легковесного http-сервера lighttpd 1.4.34.
Выпуск носит корректирующий характер и содержит около двадцати
изменений, из которых три связаны с устранением уязвимостей. Изменена
рекомендуемая по умолчанию строка c параметрами применяемых методов
шифрования ssl.cipher-list = "aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK",
из которой исключена поддержка шифров RC4, 3DES, SRP, PSK и DHE (EDH) и
выставлены более жесткие требования к RSA.
Устранены три уязвимости:
source1
source2
Устранены три уязвимости:
- Уязвимость CVE-2013-4560 вызвана обращением к уже освобождённой области памяти и позволяет инициировать удалённый отказ в обслуживании (крах процесса).
- Уязвимость CVE-2013-4559 вызвана отсутствием проверки значений, возвращаемых функциями setuid, setgid и setgroups, что может привести к запуску lighttpd под пользователем root вместо www-data после перезапуска в условиях достижения процессом заданного в системе лимита на число доступных для пользователя www-data процессов. Например, атакующий может вычислить время периодического перезапуска и наплодить в этот момент процессов через запуск CGI-сктиптов, при успехе атаки после перезапуска CGI-скрипты будут запускаться уже под root.
- Уязвимость CVE-2013-4508 связана с использованием слабых SSL-шифров при включении SNI, что позволяет атакующему осуществить подстановку поддельных пакетов в соединение между клиентом и сервером или организовать прослушивание трафика.
source1
source2
Комментариев нет:
Отправить комментарий