L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de lighttpd

alerte de vulnérabilité 27501

lighttpd : deux vulnérabilités

Synthèse de la vulnérabilité

Produits concernés : lighttpd.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/10/2018.
Références : VIGILANCE-VUL-27501.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de lighttpd.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité 26972

lighttpd : traversée de répertoire via mod_alias Specific Configuration

Synthèse de la vulnérabilité

Produits concernés : lighttpd.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 13/08/2018.
Références : VIGILANCE-VUL-26972.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via mod_alias Specific Configuration de lighttpd, afin de lire un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 20277

lighttpd : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de lighttpd.
Produits concernés : lighttpd.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/08/2016.
Références : VIGILANCE-VUL-20277.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans lighttpd.

Un attaquant peut provoquer un Cross Site Scripting, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut contourner les mesures de sécurité via server.username sans server.groupname, afin d'élever ses privilèges. [grav:2/4]

Une vulnérabilité inconnue a été annoncée via stat_cache. [grav:1/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-1000104 CVE-2016-1000105 CVE-2016-1000107

Serveurs web : création de requêtes client via l'entête Proxy

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête avec un entête Proxy malveillant vers un service web hébergeant un script CGI créant des requêtes client web, pour que ces dernières passent par le proxy de l'attaquant.
Produits concernés : Apache httpd, Tomcat, Mac OS X, Debian, Drupal Core, eZ Publish, Fedora, HP-UX, QRadar SIEM, Junos Space, NSM Central Manager, NSMXpress, lighttpd, IIS, nginx, openSUSE, openSUSE Leap, Oracle Communications, Solaris, Perl Module ~ non exhaustif, PHP, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, TrendMicro ServerProtect, TYPO3 Core, Ubuntu, Varnish.
Gravité : 3/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/07/2016.
Références : 1117414, 1994719, 1994725, 1999671, APPLE-SA-2017-09-25-1, bulletinjul2017, bulletinoct2016, c05324759, CERTFR-2016-AVI-240, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cpujan2018, CVE-2016-1000104, CVE-2016-1000105, CVE-2016-1000107, CVE-2016-1000108, CVE-2016-1000109, CVE-2016-1000110, CVE-2016-1000111, CVE-2016-1000212, CVE-2016-5385, CVE-2016-5386, CVE-2016-5387, CVE-2016-5388, DLA-553-1, DLA-568-1, DLA-583-1, DLA-749-1, DRUPAL-SA-CORE-2016-003, DSA-3623-1, DSA-3631-1, DSA-3642-1, EZSA-2016-001, FEDORA-2016-07e9059072, FEDORA-2016-2c324d0670, FEDORA-2016-340e361b90, FEDORA-2016-4094bd4ad6, FEDORA-2016-4e7db3d437, FEDORA-2016-604616dc33, FEDORA-2016-683d0b257b, FEDORA-2016-970edb82d4, FEDORA-2016-9c8cf5912c, FEDORA-2016-9de7253cc7, FEDORA-2016-9fd814a7f2, FEDORA-2016-9fd9bfab9e, FEDORA-2016-a29c65b00f, FEDORA-2016-aef8a45afe, FEDORA-2016-c1b01b9278, FEDORA-2016-df0726ae26, FEDORA-2016-e2c8f5f95a, FEDORA-2016-ea5e284d34, HPSBUX03665, HT207615, HT208144, HT208221, httpoxy, JSA10770, JSA10774, openSUSE-SU-2016:1824-1, openSUSE-SU-2016:2054-1, openSUSE-SU-2016:2055-1, openSUSE-SU-2016:2115-1, openSUSE-SU-2016:2120-1, openSUSE-SU-2016:2252-1, openSUSE-SU-2016:2536-1, openSUSE-SU-2016:3092-1, openSUSE-SU-2016:3157-1, openSUSE-SU-2017:0223-1, RHSA-2016:1420-01, RHSA-2016:1421-01, RHSA-2016:1422-01, RHSA-2016:1538-01, RHSA-2016:1609-01, RHSA-2016:1610-01, RHSA-2016:1611-01, RHSA-2016:1612-01, RHSA-2016:1613-01, RHSA-2016:1624-01, RHSA-2016:1626-01, RHSA-2016:1627-01, RHSA-2016:1628-01, RHSA-2016:1629-01, RHSA-2016:1630-01, RHSA-2016:1635-01, RHSA-2016:1636-01, RHSA-2016:1648-01, RHSA-2016:1649-01, RHSA-2016:1650-01, RHSA-2016:1978-01, RHSA-2016:2045-01, RHSA-2016:2046-01, SSA:2016-203-02, SSA:2016-358-01, SSA:2016-363-01, SUSE-SU-2017:1632-1, SUSE-SU-2017:1660-1, USN-3038-1, USN-3045-1, USN-3134-1, USN-3177-1, USN-3177-2, USN-3585-1, VIGILANCE-VUL-20143, VU#797896.

Description de la vulnérabilité

La majorité des serveurs web supportent les scripts CGI (PHP, Python, etc.).

D'après la RFC 3875, lorsqu'un serveur web reçoit un entête Proxy, il doit créer la variable d'environnement HTTP_PROXY pour les scripts CGI.

Cependant, cette variable est aussi utilisée pour stocker le nom du proxy que les clients web doivent utiliser. Les scripts PHP (via Guzzle, Artax, etc.) ou Python vont alors utiliser le proxy indiqué dans la requête web pour toutes les requêtes clients qu'ils vont émettre dans la session CGI.

Un attaquant peut donc envoyer une requête avec un entête Proxy malveillant vers un service web hébergeant un script CGI créant des requêtes client web, pour que ces dernières passent par le proxy de l'attaquant.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique 18689

lighttpd : utilisation de mémoire libérée via Chunk

Synthèse de la vulnérabilité

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée de lighttpd, afin de mener un déni de service, et éventuellement d'exécuter du code.
Produits concernés : Fedora, lighttpd.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/01/2016.
Références : FEDORA-2016-6f20fac744, FEDORA-2016-f59b94c349, VIGILANCE-VUL-18689.

Description de la vulnérabilité

L'entête HTTP Transfer-Encoding peut utiliser le type "chunked", pour indiquer que les données sont scindées en morceaux avant d'être transférées.

Cependant, lighttpd ne stocke pas correctement les morceaux, et la fonction chunkqueue_append_chunk() libère une zone mémoire avant de la réutiliser.

Un attaquant peut donc provoquer l'utilisation d'une zone mémoire libérée de lighttpd, afin de mener un déni de service, et éventuellement d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2015-3200

Lighttpd : injection de log via l'authentification HTTP basic

Synthèse de la vulnérabilité

Un attaquant peut injecter des logs via l'authentification "HTTP basic" de Lighttpd, afin de perturber l'analyse de ces logs.
Produits concernés : Fedora, lighttpd, Solaris.
Gravité : 2/4.
Conséquences : camouflage.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/05/2015.
Références : bulletinoct2015, CVE-2015-3200, FEDORA-2015-12250, FEDORA-2015-12252, VIGILANCE-VUL-16991.

Description de la vulnérabilité

Le produit Lighttpd est un serveur web.

Lighttpd implémente l'authentification nommée "HTTP basic", et journalise le nom de login. Normalement, le login et le mot de passe sont groupés en "login:password" puis encodés en base64. Cependant, l'utilisation du caractère '\0' après le login fait que le caractère ':' n'est pas trouvé par http_auth.c. Ce dernier va donc loguer l'ensemble du contenu de l'entête HTTP Basic, ce qui permet d'injecter des lignes supplémentaires.

Un attaquant peut donc injecter des logs via l'authentification "HTTP basic" de Lighttpd, afin de perturber l'analyse de ces logs.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2015-4000

TLS : affaiblissement de Diffie-Hellman via Logjam

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Produits concernés : Apache httpd, Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, DCFM Enterprise, Brocade Network Advisor, Brocade vTM, Clearswift Email Gateway, Debian, Summit, Fedora, FileZilla Server, FreeBSD, HPE BSM, HPE NNMi, HP Operations, HP-UX, AIX, DB2 UDB, IRAD, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli System Automation, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper SBR, lighttpd, ePO, Firefox, NSS, MySQL Community, MySQL Enterprise, Data ONTAP, Snap Creator Framework, SnapManager, NetBSD, nginx, OpenSSL, openSUSE, openSUSE Leap, Solaris, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraDB Cluster, RealPresence Collaboration Server, RealPresence Distributed Media Application, RealPresence Resource Manager, Polycom VBP, Postfix, SSL (protocole), Pulse Connect Secure, Puppet, RHEL, JBoss EAP par Red Hat, Sendmail, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DS***, Synology RS***, Ubuntu.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/05/2015.
Date révision : 20/05/2015.
Références : 1610582, 1647054, 1957980, 1958984, 1959033, 1959539, 1959745, 1960194, 1960418, 1960862, 1962398, 1962694, 1963151, 9010038, 9010039, 9010041, 9010044, BSA-2015-005, bulletinjan2016, bulletinjul2015, c04725401, c04760669, c04767175, c04770140, c04773119, c04773241, c04774058, c04778650, c04832246, c04918839, c04926789, CERTFR-2016-AVI-303, CTX216642, CVE-2015-4000, DLA-507-1, DSA-3287-1, DSA-3300-1, DSA-3688-1, FEDORA-2015-10047, FEDORA-2015-10108, FEDORA-2015-9048, FEDORA-2015-9130, FEDORA-2015-9161, FreeBSD-EN-15:08.sendmail, FreeBSD-SA-15:10.openssl, HPSBGN03399, HPSBGN03407, HPSBGN03411, HPSBGN03417, HPSBHF03433, HPSBMU03345, HPSBMU03401, HPSBUX03363, HPSBUX03388, HPSBUX03435, HPSBUX03512, JSA10681, Logjam, NetBSD-SA2015-008, NTAP-20150616-0001, NTAP-20150715-0001, NTAP-20151028-0001, openSUSE-SU-2015:1139-1, openSUSE-SU-2015:1209-1, openSUSE-SU-2015:1216-1, openSUSE-SU-2015:1277-1, openSUSE-SU-2016:0226-1, openSUSE-SU-2016:0255-1, openSUSE-SU-2016:0261-1, openSUSE-SU-2016:2267-1, PAN-SA-2016-0020, PAN-SA-2016-0028, RHSA-2015:1072-01, RHSA-2015:1185-01, RHSA-2015:1197-01, RHSA-2016:2054-01, RHSA-2016:2055-01, RHSA-2016:2056-01, SA111, SA40002, SA98, SB10122, SSA:2015-219-02, SSRT102180, SSRT102254, SSRT102964, SSRT102977, SUSE-SU-2015:1143-1, SUSE-SU-2015:1150-1, SUSE-SU-2015:1177-1, SUSE-SU-2015:1177-2, SUSE-SU-2015:1181-1, SUSE-SU-2015:1181-2, SUSE-SU-2015:1182-2, SUSE-SU-2015:1183-1, SUSE-SU-2015:1183-2, SUSE-SU-2015:1184-1, SUSE-SU-2015:1184-2, SUSE-SU-2015:1185-1, SUSE-SU-2015:1268-1, SUSE-SU-2015:1268-2, SUSE-SU-2015:1269-1, SUSE-SU-2015:1581-1, SUSE-SU-2016:0224-1, SUSE-SU-2018:1768-1, TSB16728, USN-2624-1, USN-2625-1, USN-2656-1, USN-2656-2, VIGILANCE-VUL-16950, VN-2015-007.

Description de la vulnérabilité

L'algorithme Diffie-Hellman permet d'échanger des clés cryptographiques. La suite DHE_EXPORT utilise des nombres premiers de maximum 512 bits.

L'algorithme Diffie-Hellman est utilisé par TLS. Cependant, durant la négociation, un attaquant placé en Man-in-the-middle peut forcer TLS à utiliser DHE_EXPORT (même si des suites plus fortes sont disponibles).

Cette vulnérabilité peut ensuite être combinée avec VIGILANCE-VUL-16951.

Un attaquant, placé en Man-in-the-middle, peut donc forcer le client/serveur TLS à accepter un algorithme d'export faible, afin de plus facilement intercepter ou modifier les données échangées.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 16951

TLS, SSH, VPN : affaiblissement de Diffie-Hellman via premiers communs

Synthèse de la vulnérabilité

Un attaquant, placé en Man-in-the-middle, peut obtenir les clés DH utilisées par le client/serveur TLS/SSH/VPN, afin d'intercepter ou de modifier les données échangées.
Produits concernés : Apache httpd, AnyConnect VPN Client, Copssh, IVE OS, Juniper SA, lighttpd, nginx, OpenSSH, OpenSSL, Openswan, Postfix, SSL (protocole), Sendmail.
Gravité : 2/4.
Conséquences : lecture de données, création/modification de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/05/2015.
Références : VIGILANCE-VUL-16951.

Description de la vulnérabilité

L'algorithme Diffie-Hellman permet d'échanger des clés cryptographiques. Il est utilisé par TLS, SSH, et les VPN (IPsec).

De nombreux serveurs utilisent les mêmes nombres premiers (standardisés par la RFC 3526). Un attaquant peut donc pré-calculer des valeurs (100000 heures cœur CPU, soit pendant une semaine pour 512 bits avec 100 ordinateurs environ) et utiliser l'attaque "number field sieve discrete log algorithm" pour obtenir rapidement les clés DH utilisées, et déchiffrer une session.

Les jeux de 512 bits sont considérés comme cassés, et les jeux de 1024 bits sont considérés comme cassables par un état.

Pour TLS, cette vulnérabilité peut être exploitée après Logjam (VIGILANCE-VUL-16950).

Un attaquant, placé en Man-in-the-middle, peut donc obtenir les clés DH utilisées par le client/serveur TLS/SSH/VPN, afin d'intercepter ou de modifier les données échangées.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2012-5533

lighttpd : déni de service via l'en-tête Connection

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête avec un en-tête Connection dont une valeur est la chaîne vide, afin de bloquer le serveur.
Produits concernés : Fedora, lighttpd, MBS, openSUSE, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/11/2012.
Références : BID-56619, CERTA-2012-AVI-674, CVE-2012-5533, FEDORA-2013-15344, FEDORA-2013-15345, MDVSA-2013:100, openSUSE-SU-2012:1532-1, openSUSE-SU-2014:0074-1, VIGILANCE-VUL-12178.

Description de la vulnérabilité

Lighttpd est un serveur HTTP.

Une requête HTTP contient plusieurs en-têtes. L'en-tête Connection indique comment gérer la connexion TCP après le traitement de la requête, sa valeur peut être une liste. Cependant, lorsqu'un des mots de cette liste est la chaîne vide, le serveur ne gère pas correctement le découpage de la liste, ce qui conduit à une boucle sans fin.

Un attaquant peut donc envoyer une requête avec un en-tête Connection dont une valeur est la chaîne vide, afin de bloquer le serveur.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2008-4298 CVE-2008-4359 CVE-2008-4360

lighttpd : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de lighttpd permettent à un attaquant de mener un déni de service ou d'obtenir des informations.
Produits concernés : Debian, Fedora, lighttpd, NLD, OES, openSUSE, SLES, Unix (plateforme) ~ non exhaustif.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 07/10/2008.
Références : BID-31599, BID-31600, CERTA-2008-AVI-479, CVE-2008-4298, CVE-2008-4359, CVE-2008-4360, DSA-1645-1, FEDORA-2008-11923, lighttpd_sa_2008_05, lighttpd_sa_2008_06, lighttpd_sa_2008_07, SUSE-SR:2008:026, SUSE-SR:2009:020, VIGILANCE-VUL-8152.

Description de la vulnérabilité

Le programme lighttpd est un serveur web. Il comporte plusieurs vulnérabilités.

Une fuite mémoire de la fonction http_request_parse() peut conduire à un déni de service. [grav:2/4; CERTA-2008-AVI-479, CVE-2008-4298, lighttpd_sa_2008_07]

Lors de la reécriture d'url, les vérifications sont incohérentes, ce qui permet à un attaquant d'accéder aux ressources du serveur. [grav:2/4; BID-31599, CVE-2008-4359, lighttpd_sa_2008_05]

Le module mod_userdir gère incorrectement la casse des noms sur les systèmes de fichier ne différenciant pas les majuscules et les minuscules. [grav:1/4; BID-31600, CVE-2008-4360, lighttpd_sa_2008_06]
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur lighttpd :