openSUSE セキュリティ更新：lighttpd（openSUSE-2012-110）

medium Nessus プラグイン ID 74546

Language:

概要

リモート openSUSE ホストに、セキュリティ更新がありません。

説明

- lighttpd-1.4.30_head_fixes.patch を追加しました：HEAD から 4 つの修正のチェリーピックを行いました：

- [ssl] 追加のヘッダーを明示的に含みます

- lighttpd -V の全ネットワークハンドラーを一覧表示します（lighttpd#2376 の修正）

- fdevent サブシステムインクルードを実装ファイルに移送し、コンフリクトを削減します（lighttpd#2373 の修正）

- [ssl] openssl のバージョンの再ネゴシエーションのカウントを TLSEXT/SNI なしに行うときに発生するセグメンテーション違反を修正します

- 1.4.30 への更新：（bnc#733607）

- ‘own’ md5 実装を常に使用します、MacOS のリンクの問題を修正します（#2331 の修正）

- 1 回で送信するバイトの量を制限します。速度の遅いシステムで、1 回の接続とタイムアウトのストールを修正します。

- [ssl] 楕円曲線ディフィー・ヘルマンが無効のときのビルドエラーを修正します

- static-file.disable-pathinfo オプションを追加し、…/secret.php/image.jpg といった url の静的ファイルとしての処理を回避します

- 401（承認が必須）を 501（不明なメソッド）で上書きしません（#2341 の修正）

- mod_status bug を修正します：アップロードの “Read” 列で常に “0/0” を表示しました（#2351 の修正）

- [mod_auth] http_auth の符号エラーを修正します（#2370、CVE-2011-4362 の修正）

- [ssl] クライアントの再ネゴシエーションを防止するために再ネゴシエーションをカウントします

- [ssl] サーバーの暗号順序を遵守するためのオプションを追加します（#2364、BEAST 攻撃の修正）

- [コア] ホストヘッダーの ipv6 アドレスでドットを受け入れます（#2359 の修正）

- [ssl] ファイルが MAX_WRITE_LIMIT より大きい場合に ssl 接続が停止するのを修正します（256kb）

- [libev/cgi] libev で cgi にある waitpid ECHILD エラーを修正します（#2324 の修正）

- automake を buildrequire として追加し、非明示的な依存関係を回避します

ソリューション

影響を受けた lighttpd パッケージを更新してください。

参考資料

https://bugzilla.novell.com/show_bug.cgi?id=733607

プラグインの詳細

深刻度: Medium

ID: 74546

ファイル名: openSUSE-2012-110.nasl

バージョン: 1.3

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2014/6/13

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.2

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:novell:opensuse:lighttpd, p-cpe:/a:novell:opensuse:lighttpd-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-debugsource, p-cpe:/a:novell:opensuse:lighttpd-mod_cml, p-cpe:/a:novell:opensuse:lighttpd-mod_cml-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip, p-cpe:/a:novell:opensuse:lighttpd-mod_geoip-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet, p-cpe:/a:novell:opensuse:lighttpd-mod_magnet-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost, p-cpe:/a:novell:opensuse:lighttpd-mod_mysql_vhost-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool, p-cpe:/a:novell:opensuse:lighttpd-mod_rrdtool-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl, p-cpe:/a:novell:opensuse:lighttpd-mod_trigger_b4_dl-debuginfo, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav, p-cpe:/a:novell:opensuse:lighttpd-mod_webdav-debuginfo, cpe:/o:novell:opensuse:12.1

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

パッチ公開日: 2012/2/13

参照情報

CVE: CVE-2011-4362