Устранена критическая уязвимость в nginx
Уязвимость позволяла выполнить произвольный код на целевой системе.
Вышло внеплановое обновление сервера nginx до версии 1.4.1, в котором устранена уязвимость CVE-2013-2028, позволяющая выполнить произвольный код на целевой ситеме.
Уязвимость может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. Бреши подвержены реализации nginx версий 1.3.9 и 1.4.0.
Соответствующее обновление было выпущено также для портов FreeBSD с версией 1.4.0.
В качестве дополнительного метода устранения уязвимости производитель предлагает в каждом из блоков server{} запретить обработку chunked-запросов таким образом:
if ($http_transfer_encoding ~* chunked) {
return 444;
}
Редакция SecurityLab.ru рекомендует устранить уязвимость в кратчайшие сроки. С подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/440186.php
Устали от того, что Интернет знает о вас все?