Устранена критическая уязвимость в nginx

image

Теги: уязвимость, патч

Уязвимость позволяла выполнить произвольный код на целевой системе.

Вышло внеплановое обновление сервера nginx до версии 1.4.1, в котором устранена уязвимость CVE-2013-2028, позволяющая выполнить произвольный код на целевой ситеме.

Уязвимость может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. Бреши подвержены реализации nginx версий 1.3.9 и 1.4.0.

Соответствующее обновление было выпущено также для портов FreeBSD с версией 1.4.0.

В качестве дополнительного метода устранения уязвимости производитель предлагает в каждом из блоков server{} запретить обработку chunked-запросов таким образом:

if ($http_transfer_encoding ~* chunked) {
return 444;
}

Редакция SecurityLab.ru рекомендует устранить уязвимость в кратчайшие сроки. С подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/440186.php


или введите имя

CAPTCHA
agz
08-05-2013 13:17:08
Обновился, спасибо.
0 |
X3
08-05-2013 14:30:28
stack-based buffer overflow security problem in nginx 1.3.9 - 1.4.0 Добавьте в статью, проблема актуальна только для этих версий nginx.
0 |