Рекомендация Debian по безопасности

DSA-2627-1 nginx -- утечка информации

Дата сообщения:
17.02.2013
Затронутые пакеты:
nginx
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 700426.
В каталоге Mitre CVE: CVE-2012-4929.
Более подробная информация:

Джулиано Риццо и Тай Донг обнаружили уязвимость в протоколе TLS/SSL, которая проявляется во время сжатия. Эта атака по сторонним канала, дублирующая CRIME, позволяет собирать информацию для раскрытия изначальных текстовых данных протокола. Данное обновление nginx отключает сжатие SSL.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 0.7.67-3+squeeze3.

В тестируемом (wheezy) и нестабильном (sid) выпусках эта проблема была исправлена в версии 1.1.16-1.

Рекомендуется обновить пакеты nginx.