Устранена критическая уязвимость в nginx

Вышло внеплановое обновление сервера nginx до версии 1.4.1, в котором устранена уязвимость CVE-2013-2028, позволяющая выполнить произвольный код на целевой ситеме.

Уязвимость может привести к перезаписи областей стека рабочего процесса при обработке специально оформленных chunked-запросов. Бреши подвержены реализации nginx версий 1.3.9 и 1.4.0.

Соответствующее обновление было выпущено также для портов FreeBSD с версией 1.4.0.

В качестве дополнительного метода устранения уязвимости производитель предлагает в каждом из блоков server{} запретить обработку chunked-запросов таким образом:

if ($http_transfer_encoding ~* chunked) {
return 444;
}

Редакция SecurityLab.ru рекомендует устранить уязвимость в кратчайшие сроки. С подробным описанием уязвимости можно ознакомиться по адресу:
http://www.securitylab.ru/vulnerability/440186.php