Fecha del reporte: 6 de oct de 2008

Paquetes afectados: lighttpd

Más información: Múltiples vulnerabilidades locales y remotas han sido descubiertas en lighttpd, un servidor web rápido con un mínimo uso de memoria.

El proyecyto Common Vulnerabilities and Exposures identifica los siguientes problemas:

• CVE-2008-4298: Una pérdida de memoria la función http_request_parse podría ser usada por atacantes remotos para hacer que lighttpd consuma memoria, y causar un fallo por denegación de servicio.

• CVE-2008-4359: El manejo inconsistente de patrones URL podría implicar la revelación de recursos que un administrador del servidor no ha planificado al usar rewritten URLs.

• CVE-2008-4360: En sistemas de ficheros que discriminan a las rutas de ficheros por su capitalización podría ser posible que recursos superiores se hagan accesibles a través de mod_userdir.

Para la distribución estable (etch), estos problemas han sido arreglados en la versión 1.4.13-4etch11.

Para la distribución inestable (sid), estos problemas serán arreglados a la brevedad.

Le recomendamos actualizar su paquete lighttpd.

Original (en inglés): http://lists.debian.org/debian-security-announce/2008/msg00236.html