debian-security-announce пишет, что в 1.4.33 исправлены CVE-2013-4508, CVE-2013-4559, CVE-2013-4560. причем сам debian патчит версии в поддерживаемых стабильных репозиториях. в Altlinux ситуация странная - судя по сайту prometheus, 1.4.33 собрана в: sisyphus t6 5.1 и не собрана в p7 p6 p5 t7 патчи на текущие версии тоже не делали, например последняя сборка в p7 - 1.4.32-alt4 от 3 апреля 2013. предлагаю - или патчить 1.4.32, или собрать 1.4.33 везде. инфа на сайте lighttpd причем не указывает на исправленные CVE - http://www.lighttpd.net/2013/9/27/1-4-33/
Скопировано в p7, p6 и p5.