Bulletin d'alerte Debian

DSA-2627-1 nginx -- Fuite d'informations

Date du rapport :
17 février 2013
Paquets concernés :
nginx
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 700426.
Dans le dictionnaire CVE du Mitre : CVE-2012-4929.
Plus de précisions :

Juliano Rizzo et Thai Duong ont découvert une faille dans le protocole TLS/SSL quand la compression est utilisée. Cette attaque par des canaux auxiliaires, baptisée CRIME, permet à des personnes indiscrètes de collecter des informations afin de retrouver le texte original dans le protocole. Cette mise à jour de nginx désactive la compression SSL.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 0.7.67-3+squeeze3.

Pour la distribution testing (Wheezy) et la distribution unstable (Sid), ce problème a été corrigé dans la version 1.1.16-1.

Nous vous recommandons de mettre à jour vos paquets nginx.