Новости IT, хостинга
  Android, Apple, Facebook, Google, Linux, Microsoft, Samsung, Twitter, Интернет, Россия, браузеры, обновление ПО, онлайн-сервисы, операционные системы, планшеты, рынок ИТ, сделки, смартфоны, социальные сети, уязвимости  
  новостей: 10384
  комментариев: 3197

Релиз http-сервера lighttpd 1.4.34


Увидел свет релиз легковесного http-сервера lighttpd 1.4.34. Выпуск носит корректирующий характер и содержит около двадцати изменений, из которых три связаны с устранением уязвимостей. Изменена рекомендуемая по умолчанию строка c параметрами применяемых методов шифрования ssl.cipher-list = "aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK", из которой исключена поддержка шифров RC4, 3DES, SRP, PSK и DHE (EDH) и выставлены более жесткие требования к RSA.

Устранены три уязвимости:

Уязвимость CVE-2013-4560 вызвана обращением к уже освобождённой области памяти и позволяет инициировать удалённый отказ в обслуживании (крах процесса).
Уязвимость CVE-2013-4559 вызвана отсутствием проверки значений, возвращаемых функциями setuid, setgid и setgroups, что может привести к запуску lighttpd под пользователем root вместо www-data после перезапуска в условиях достижения процессом заданного в системе лимита на число доступных для пользователя www-data процессов. Например, атакующий может вычислить время периодического перезапуска и наплодить в этот момент процессов через запуск CGI-сктиптов, при успехе атаки после перезапуска CGI-скрипты будут запускаться уже под root.
Уязвимость CVE-2013-4508 связана с использованием слабых SSL-шифров при включении SNI, что позволяет атакующему осуществить подстановку поддельных пакетов в соединение между клиентом и сервером или организовать прослушивание трафика.
Из не связанных с безопасностью изменений можно отметить решение проблем со сборкой без поддержки IPv6, устранение утечек памяти и файловых дескрипторов, организация декодирования URL перед применением rewrite-правил.


Источник: opennet.ru

  22 января 2014 562
Версия для печати

← предыдущая новость следующая новость →

Мой комментарий
Ваше имя*:
Email:
Комментарий*:
Зарегистрироваться автоматически: Вы будете зарегистрированы на сайте автоматически при добавлении комментария. Обязательно заполните поле Email для этого.
Сумма чисел 9 и 11*:            


Хостеры (2473)
HostDB (35)
Софт (2640)
Железо (993)
Интернет (1435)
Статистика и аналитика (3324)




Отправить сообщение администратору

Сумма чисел 23 и 0*:


Яндекс цитирования
сообщить о неточности