DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-0488: lighttpd: Zwei Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie

Version 1 (2017-03-20 12:32)
Neues Advisory

Betroffene Software

lighttpd

Betroffene Plattformen

SUSE Linux Enterprise High Availability 12 SP1
SUSE Linux Enterprise High Availability 12 SP2
SUSE Linux Enterprise High Availability Extension 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Server for SAP 11 SP4
SUSE Linux Enterprise Server for SAP 12

Lösung

Patch

SUSE Security Update SUSE-SU-2017:0728-1

Patch

SUSE Security Update SUSE-SU-2017:0731-1

Beschreibung

Zwei Schwachstellen in lighttpd ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen ('httpoxy'-Problem) sowie das Manipulieren von Dateien.

Für die SUSE Linux Enterprise Produkte Server for SAP 11 SP4 und 12, Software Development Kit 11 SP4, Debuginfo 11 SP4 sowie für High Availability Extension 11 SP4, High Availability 12 SP1 und 12 SP2 stehen aktualisierte 'lighttpd'-Pakete als Sicherheitsupdates bereit.

Schwachstellen

CVE-2016-1000212: "Schwachstelle" in lighttpd ermöglicht Umgehen von Sicherheitsvorkehrungen

Der lighttpd-Webserver bis inklusive Version 1.4.40 ist konform zu RFC 3875 Sektion 4.1.18 und schützt deshalb Anwendungen nicht vor nicht vertrauenswürdigen Client-Daten in der HTTP_PROXY-Umgebungsvariablen. Dadurch ist es möglich, mittels eines präparierten Proxy-Headers in einem HTTP-Request den ausgehenden HTTP-Verkehr einer Anwendung auf einen beliebigen Proxy-Server umzuleiten ('httpoxy'-Problem). HINWEIS: Der Hersteller weist darauf hin, dass CVE-2016-1000212 kein Sicherheitsproblem von lighttpd ist. Das angebotene Update führt eine zusätzliche Schutzebene für die Verwendung der nicht vertrauenswürdigen Umgebungsvariable ein. Ein entfernter, nicht authentifizierter Angreifer kann Sicherheitsvorkehrungen umgehen.

CVE-2015-3200: Schwachstelle in lighttpd ermöglicht das Manipulieren von Dateien

Das Modul mod_auth von lighttpd erlaubt es, beliebige Einträge in der Protokollierung über eine Zeichenkette ohne Doppelpunkt für die Basic HTTP-Authentifizierungsmethode zu erzeugen. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um das Protokoll zu manipulieren.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.