检测

openSUSE 安全更新:lighttpd (openSUSE-2012-110)

medium Nessus 插件 ID 74546

语言:

简介

远程 openSUSE 主机缺少安全更新。

描述

- 新增了 lighttpd-1.4.30_head_fixes.patch:cherry 从 HEAD 提取了 4 个补丁:

- [ssl] 显式包含更多标头

- 列出 lighttpd -V 中的所有网络处理程序(修复了 lighttpd#2376)

- 移动 fdevent 子系统,包括实现文件以减少冲突(修复了 lighttpd#2373)

- [ssl] 修复了不含 TLSEXT/SNI 的 openssl 版本计数重新协商中的段错误

- 更新到 1.4.30:(bnc#733607)

- 始终使用我们“自己”的 md5 实现,修复了 MacOS 中的链接问题(修复了 #2331)

- 限制一次发送的字节数;修复了一个连接中的停止以及慢速系统上的超时。

- [ssl] 修复了 Elliptic-Curve Diffie-Hellman 禁用时的构建错误

- 新增了 static-file.disable-pathinfo 选项,防止将 urls(例如 …/secret.php/image.jpg)处理成静态文件

- 不使用 501(未知方法)覆盖 401(需要认证)(修复了 #2341)

- 修复了 mod_status 缺陷:在上传的“Read”列中始终显示“0/0”(修复了 #2351)

- [mod_auth] 修复了 http_auth 中的符号错误(修复了 #2370、CVE-2011-4362)

- [ssl] 计数重新协商以防止客户端重新协商

- [ssl] 新增了遵守服务器密码顺序的选项(修复了 #2364,BEAST 攻击)

- [core] 在主机标头中接受 ipv6 地址中的点(修复了 #2359)

- [ssl] 修复了当文件大于 MAX_WRITE_LIMIT (256kb) 时的 ssl 连接中止

- [libev/cgi] 修复了包含 libev 的 cgi 中的 waitpid ECHILD 错误(修复了 #2324)

- 将 automake 添加为 buildrequire,以避免隐式依存关系

解决方案

更新受影响的 lighttpd 程序包。

另见

https://bugzilla.novell.com/show_bug.cgi?id=733607

插件详情

严重性: Medium

ID: 74546

文件名: openSUSE-2012-110.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2014/6/13

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Medium

基本分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:novell:opensuse:lighttpd, p-cpe:/a:novell:opensuse:lighttpd-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-debugsource, p-cpe:/a:novell:opensuse:lighttpd-mod_cml, p-cpe:/a:novell:opensuse:lighttpd-mod_cml-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav-debuginfo, cpe:/o:novell:opensuse:12.1

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2012/2/13

参考资料信息

CVE: CVE-2011-4362