Релиз http-сервера lighttpd 1.4.34
Увидел свет релиз легковесного http-сервера lighttpd 1.4.34. Выпуск носит корректирующий характер и содержит около двадцати изменений, из которых три связаны с устранением уязвимостей. Изменена рекомендуемая по умолчанию строка c параметрами применяемых методов шифрования ssl.cipher-list = «aRSA+HIGH!3DES +kEDH +kRSA! kSRP! kPSK», из которой исключена поддержка шифров RC4, 3DES, SRP, PSK и DHE (EDH) и выставлены более жесткие требования к RSA. Устранены три уязвимости:
Уязвимость CVE-2013–4560 вызвана обращением к уже освобождённой области памяти и позволяет инициировать удалённый отказ в обслуживании (крах процесса). Уязвимость CVE-2013–4559 вызвана отсутствием проверки значений, возвращаемых функциями setuid, setgid и setgroups, что может привести к запуску lighttpd под пользователем root вместо www-data после перезапуска в условиях достижения процессом заданного в системе лимита на число доступных для пользователя www-data процессов. Например, атакующий может вычислить время периодического перезапуска и наплодить в этот момент процессов через запуск CGI-сктиптов, при успехе атаки после перезапуска CGI-скрипты будут запускаться уже под root. Уязвимость CVE-2013–4508 связана с использованием слабых SSL-шифров при включении SNI, что позволяет атакующему осуществить подстановку поддельных пакетов в соединение между клиентом и сервером или организовать прослушивание трафика. Из не связанных с безопасностью изменений можно отметить решение проблем со сборкой без поддержки IPv6, устранение утечек памяти и файловых дескрипторов, организация декодирования URL перед применением rewrite-правил.
© OpenNet
