Vorsicht: lighttpd Update für Debian Etch

Posted on the April 8th, 2008 under adminlife by matthias

Nachdem ich heute morgen eine kritische Lücke in der lighttpd Version unter Debian Etch mit einem Update auf 1.4.13-4etch7 beheben wollte, erreichte das System einen extrem hohen Load beim Aufruf von SSL geschützten Seiten. Folgende Fehlermeldungen tauchten in der error.log auf:

[code language="css"]2008-04-08 08:38:05: (connections.c.1649) SSL: 5 error:00000000:lib(0):func(0):reason(0)[/code]

Durch die Fehlermeldungen wuchs die Logdatei ins Unendliche. Damit der Load wieder erträglich wurde, musste ich lighttpd stoppen und die alte Version 1.4.13-4etch6 installieren. Ein Bugreport ist gepostet.

Fazit: Lieber noch abwarten, wenn ihr SSL mit dem lighty nutzt!

|

23 Responses to 'Vorsicht: lighttpd Update für Debian Etch'

Subscribe to comments with RSS
  1. 08. April 2008 at 17:29
    Christof

    Oh danke, bei uns läuft lighttpd unter Etch. Gut, Euren Blog als Feed abonniert zu haben. :-)

    Alles Gute,

    Christof

  2. 08. April 2008 at 19:05
    Marc

    Hi,

    hab die Warnung zu spät gelesen. :( Wie kann ich denn die alte Version installieren?

    Gruß

    Marc

  3. 08. April 2008 at 20:17
    mo


    cd /tmp
    wget http://security.debian.org/debian-security/pool/updates/main/l/lighttpd/lighttpd_1.4.13-4etch6_i386.deb
    dpkg -i lighttpd_1.4.13-4etch6_i386.deb

  4. 08. April 2008 at 21:19
    matthias

    Oder mal schauen ob unter /var/cache/apt/archives noch eine ältere lighty Version liegt und diese dann mit dpkg -i installieren.

  5. 08. April 2008 at 21:52
    Dirk Deimeke

    Wenn es noch in den Paketquellen ist:

    aptitude install lighttpd=1.4.13-4etch6

  6. 08. April 2008 at 23:20
    Stefan

    In letzter Zeit gibts ganz schön viele Bugs im lighty und zwar nicht grad harmlose… :(

  7. 09. April 2008 at 13:46
    Hannes

    Ich hatte heute früh auch bissl zu kämpfen. CPU lief 100% und HDD (15GB) war rammelvoll.
    Hoffe mal, es gibt bald ein Update.
    @Christof: jup, das hab ich heute früh dann auch gedacht ^^ gleich abonnieren.

  8. 09. April 2008 at 14:02
    matthias

    Nee, noch gibts da leider nicht Neues. Mal abwarten :(

  9. 11. April 2008 at 20:19
    Stefan

    Soviel dazu, dass bei Debian alles ganz toll und ausführlich getestet wird und sooo stable ist.

  10. 12. April 2008 at 01:03
    Christof

    @Stefan: Ach Schmarren, denen kann auch mal ein Fehler passieren. Das ist der erste, den ich seit – warte mal – etwa fünf Jahren erlebe. Es mag andere gegeben haben, aber meine Server laufen seit woody absolut stabil.

  11. 12. April 2008 at 16:36
    Stefan

    Stabilität und ausgereifte Updateprozesse werden aber immer als DAS Argument angeführt, weswegen man professionell uuuuuunbeding Debian einsetzen sollte, hier ist mal ein Beispiel dafür, dass auch dort genau die selben Fehler wie anderswo passieren. :P

  12. 12. April 2008 at 18:13
    matthias

    Ja, passiert dafür bei Debian aber sehr sehr selten. Bei so manchen Sourcedistributionen gibts mit Sicherheit auch immer mal wieder nen Fehler. Aber keinen Flamewar an dieser Stelle.

  13. 12. April 2008 at 18:42
    Stefan

    Schade! :)
    Ich wollte nur mal drauf hinweisen – man kann bei keiner Distribution 100% sicher sein, dass updates Glücken und muss daher *immer* aufpassen. :)

  14. 13. April 2008 at 18:56
    Christof

    @Stefan: so gesehen hast Du recht. 100%ig sicher ist nur der Tod. Aber davon jetzt unabhängig: weiß irgendwer, ob daran was getan wird? Ich finde bei Google kaum weitere Hinweise. Bin zu faul nachzusehen, wie sich dieses eine Update ausschließen lässt und lasse für den einen Server deshalb derzeit alle Updates ruhen.

  15. 13. April 2008 at 20:28
    matthias

    Tja, noch gibts nicht viel Neues. Am Besten schaust du dir den oben verlinkten Bugreport an.

  16. 13. April 2008 at 23:03
    Stefan

    …nach so langer Zeit… :(

  17. 14. April 2008 at 00:05
    foo


    Bug marked as fixed in version 1.4.13-5. [...] (Sun, 13 Apr 2008 10:54:03 GMT)

    Aber macht jetzt nicht blind ein ‘aptitude update;aptitude upgrade’. Zumindest mit Stratos Debian-Mirror ging das schief. Wobei ich langsam anfange zu bezweifeln ob das wirklich an deren Mirror liegt… immerhin fragt er auch noch security.debian.org ab und erhaelt darauf immer noch das fehlerhafte Paket. Dort liegt noch die alte Version.

    Meine persoenliche Liste, die gegen Debian spricht, wird dadurch auch wieder laenger…

  18. 14. April 2008 at 08:58
    matthias

    Noch gibt es da nix. Das Update müsste ja auch 1.4.13-4etch8 heißen, nach Debian Release Politik, oder?

  19. 15. April 2008 at 09:42
    matthias

    Noch immer nichts neues. Wer durch das fehlerhafte Updates nicht auch andere Updates zurückhalten will, kann das Paket einfach manuell zurückhalten:

    aptitude forbid-version lighttpd=1.4.13-4etch7

    Die nächsthöhere lighttpd Version ist davon nicht betroffen.

  20. 15. April 2008 at 21:50
    Christof

    Da ist der Fix:


    Package : lighttpd
    Vulnerability : DOS
    Problem type : remote
    Debian-specific: no
    CVE Id(s) : CVE-2008-1531

    It was discovered that lighttpd, a fast webserver with minimal memory
    footprint, was didn't correctly handle SSL errors. This could allow
    a remote attacker to disconnect all active SSL connections.

    This security update fixes a regression in the previous one, which caused
    SSL failures.

    For the stable distribution (etch), this problem has been fixed in version
    1.4.13-4etch8.

    Happy upgrading. Und weiter gehts…

  21. 16. April 2008 at 07:11
    matthias

    Gleich mal einspielen. Endlich leuchtet Nagios nicht mehr rot ;)
    Danke für die Info!

  22. 16. April 2008 at 09:11
    exe

    Dank Google hier gelandet. Mein FS war auch voll, siehe Link. :\

  23. 16. April 2008 at 23:38
    pfleidi

    Gut zu wissen :)

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>