偵測

openSUSE 安全性更新:lighttpd (openSUSE-2012-110)

medium Nessus Plugin ID 74546

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

- 新增 lighttpd-1.4.30_head_fixes.patch:從 HEAD 精選 4 個修正:

- [ssl] 明確包含更多標頭

- 列出 lighttpd -V 中的所有網路處置程式 (修正 lighttpd#2376)

- 移動 fdevent 子系統以納入實作檔案,藉此減少衝突 (修正 lighttpd#2373)

- [ssl] 修正計算沒有 TLSEXT/SNI 之 openssl 版本重新交涉時的分割錯誤

- 1.4.30 的更新:(bnc#733607)

- 一律使用我們「自己」的 md5 實作,修正 MacOS 上的連結問題 (修正 #2331)

- 限制我們一次傳送的位元組大小;修正單一連線的停止,以及緩慢系統上的逾時。

- [ssl] 修正橢圓曲線 Diffie-Hellman 停用時的構建錯誤

- 新增 static-file.disable-pathinfo 選項,防止將像是 …/secret.php/image.jpg 的 url 視為靜態檔案處理

- 不以 501 (未知方法) 覆寫 401 (需要驗證) (修正 #2341)

- 修正 mod_status 錯誤:上傳的 [讀取] 欄一律顯示 [0/0] (修正 #2351)

- [mod_auth] 修正 http_auth 中的正負號錯誤 (修正 #2370、CVE-2011-4362)

- [ssl] 計算重新交涉,以避免用戶端重新交涉

- [ssl] 新增接受伺服器密碼順序的選項 (修正 #2364、BEAST 攻擊)

- [核心] 接受主機標頭中的 ipv6 位址含有點 (修正 #2359)

- [ssl] 修正檔案大於 MAX_WRITE_LIMIT (256kb) 時的 ssl 連線中止

- [libev/cgi] 修正具有 libev 之 cgi 中的 waitpid ECHILD 錯誤 (修正 #2324)

- 將 automake 新增為 buildrequire,避免隱含相依性

解決方案

更新受影響的 lighttpd 套件。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=733607

Plugin 詳細資訊

嚴重性: Medium

ID: 74546

檔案名稱: openSUSE-2012-110.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2014/6/13

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 2.2

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:lighttpd, p-cpe:/a:novell:opensuse:lighttpd-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-debugsource, p-cpe:/a:novell:opensuse:lighttpd-mod_cml, p-cpe:/a:novell:opensuse:lighttpd-mod_cml-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav-debuginfo, cpe:/o:novell:opensuse:12.1

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2012/2/13

參考資訊

CVE: CVE-2011-4362