Debians sikkerhedsbulletin

DSA-2627-1 nginx -- informationslækage

Rapporteret den:
17. feb 2013
Berørte pakker:
nginx
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 700426.
I Mitres CVE-ordbog: CVE-2012-4929.
Yderligere oplysninger:

Juliano Rizzo og Thai Duong opdagede en svaghed i TLS-/SSL-protokollen, når der anvendes komprimering. Sidekanalsangrebet, kaldet CRIME, gjorde det muligt for smuglyttere at opsamle oplysninger til at erhverve den oprindelige rene tekst i protokollen. Denne opdatering til nginx deaktiverer SSL-komprimering.

I den stabile distribution (squeeze), er dette problem rettet i version 0.7.67-3+squeeze3.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er dette problem rettet i version 1.1.16-1.

Vi anbefaler at du opgraderer dine nginx-pakker.