Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2627-1 nginx

Bulletin d'alerte Debian

DSA-2627-1 nginx -- Fuite d'informations

Date du rapport :

17 février 2013

Paquets concernés :

nginx

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 700426.
Dans le dictionnaire CVE du Mitre : CVE-2012-4929.

Plus de précisions :

Juliano Rizzo et Thai Duong ont découvert une faille dans le protocole TLS/SSL quand la compression est utilisée. Cette attaque par des canaux auxiliaires, baptisée CRIME, permet à des personnes indiscrètes de collecter des informations afin de retrouver le texte original dans le protocole. Cette mise à jour de nginx désactive la compression SSL.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.7.67-3+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.16-1.

Nous vous recommandons de mettre à jour vos paquets nginx.