检测

FreeBSD:lighttpd -- 多种漏洞 (90b27045-9530-11e3-9d09-000c2980a9f3)

high Nessus 插件 ID 72494

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

lighttpd 安全公告:

当使用 ssl.cipher-list 时,它可能无意间启用有漏洞的密码。

在某些情况下 setuid() 及类似函数可能失败,可能触发 lighttpd 以根用户身份重新启动并运行。

如果 FAMMonitorDirectory 失败,则会释放预期用于存储上下文的内存;会读取此上下文的“version”组件下方的某些行。读取无效数据的影响不大,但内存访问可触发段错误。

解决方案

更新受影响的程序包。

另见

http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2013_01.txt

http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2013_02.txt

http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2013_03.txt

http://www.nessus.org/u?17e31e6a

插件详情

严重性: High

ID: 72494

文件名: freebsd_pkg_90b27045953011e39d09000c2980a9f3.nasl

版本: 1.4

类型: local

发布时间: 2014/2/14

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:lighttpd, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2014/2/14

漏洞发布日期: 2013/11/28

参考资料信息

CVE: CVE-2013-4508, CVE-2013-4559, CVE-2013-4560