Aviso de seguridad del equipo debian DSA 1645-1

Varias vulnerabilidades locales/remotas han sido descubiertas en lighttpd.

Las vulnerabilidades son las siguientes:

CVE-2008-4298
Una fuga de memoria en la función http_request_parse podría ser usada por un atacante remoto para hacer a lighttpd consumir memoria y causar un DoS.

CVE-2008-4359
El manejo inconsistente de patrones URL, podría conducir a la revelación de recursos que un administrador del sistema no tuvo en cuenta cuando uso reescritura de urls (rewrite).

Lo que en apache es tan facil como:

AddType application/x-httpd-php .php .html

En lighttpd, también es facil añadiendo en la configuración de fast-cgi (/etc/lighttpd/conf-enabled/10-fastcgi.conf):

fastcgi.map-extensions = ( “.html” => “.php” )

No obstante, este “truco” no está recomendado, ya que obligará a lighttpd (o a apache), a pasar todos los archivos html por php, con el consumo extra que ésto implica.

Hay ciertas webs que uso para administración del servidor web (estadisticas), que no me interesa que sean accesibles por todo el mundo. Para ello, vamos a configurar la autenticación en lighttpd.

Activamos el módulo:

lighty-enable-mod auth

Configuramos el fichero /etc/lighttpd/conf-enabled/10-auth.conf, donde especificaremos que queremos proteger:

auth.backend = "htdigest"
auth.backend.htdigest.userfile = "/etc/lighttpd/light.digest.user"

$HTTP["host"] == “estadisticas.dominio.com” {
        auth.require = ( “/” =>
        (
                “method” => “digest”,
                “realm” => “Estadisticas de Dominio”,
                “require” => “valid-user”
        )
        )
}

Uso el método de autenticación digest ya que es el mas seguro.

Aviso de seguridad del equipo debian DSA-1609-1.

Multiples vulnerablidades locales y remotas ha sido descubiertas en lighttpd, un servidor web rápido con mínimo consumo de m
emoria.

lighttpd 1.4.18 y posiblemente otras versiones anteriores a la 1.5.0 no calcula apropiadamente el tamaño de un array, lo cual podría permitir a atacantes remotos causar un DoS, a través de múltiples conexiones.
connections.c en lighttpd anterior a 1.4.16, acepta mas conexiones de las configuradas como máximo, lo cual permitiría a atacantes remotos causar un DoS, a través de multiples intentos de conexión.

Existe una herramienta llamada httping que nos puede servir de ayuda a la hora de optimizar nuestro servidor web.
Con ella podremos saber la latencia entre nuestro servidor web y el lugar desde donde la ejecutamos. También podremos medir el rendimiento de éste.

Para saber la latencia entre nuestro servidor web y el punto desde el que realizamos las pruebas, realizaremos:
httping -c 5 -g http://localhost/