blob: c3a8eaebf9f7c1067d494fc0a2f67e5c290e2a22 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>複数の欠陥が lighttpd ウェブサーバに発見されました。</p>
<p>DSA-2795-1 により lighttpd を更新した後に、クライアント証明書を利用した
SSL 接続が機能しなくなっていることが発見されました。
この更新により上流パッチが適用され、
クライアント証明書検証用の適切な識別子を提供します。</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4508">CVE-2013-4508</a>
<p>lighttpd は SNI (Server Name Indication) が有効になっている場合に弱い ssl
暗号を利用していることが発見されました。この問題は SNI が有効になっている
場合にもっと強い暗号を確実に利用することにより解決しています。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4559">CVE-2013-4559</a>
<p>Clang Static Analyzer を使い、lighttpd の setuid、setgid、setgroups
の呼び出し周りで確認不足により特権が昇格する問題を発見しました。
現在は適切に確認するようになっています。</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2013-4560">CVE-2013-4560</a>
<p>Clang Static Analyzer を使い、FAM 状態キャッシュエンジンが有効になっている場合に
メモリを開放後に利用する問題を発見しました。現在は修正されています。</p></li>
</ul>
<p>旧安定版 (oldstable) ディストリビューション (squeeze)
では、この問題はバージョン 1.4.28-2+squeeze1.5 で修正されています。</p>
<p>安定版 (stable) ディストリビューション (wheezy)
では、この問題はバージョン 1.4.31-4+deb7u2 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション
(jessie) ではこの問題は近く修正予定です。</p>
<p>不安定版 (unstable) ディストリビューション (sid)
では、この問題はバージョン lighttpd_1.4.33-1+nmu1 で修正されています。</p>
<p>テスト版 (testing) ディストリビューション (jessie)
及び不安定版 (unstable) ディストリビューション (sid)
では、このリグレッションは近く修正予定です。</p>
<p>直ちに lighttpd パッケージをアップグレードすることを勧めます。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2013/dsa-2795.data"
|
