Säkerhetsbulletin från Debian
DSA-2627-1 nginx -- informationsläckage
- Rapporterat den:
- 2013-02-17
- Berörda paket:
- nginx
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 700426.
I Mitres CVE-förteckning: CVE-2012-4929. - Ytterligare information:
-
Juliano Rizzo och Thai Duong hittade en svaghet i TLS/SSL-protokollen vid användning av komprimering. Detta sidkanalsangrepp, kallat
CRIME
, gjorde det möjligt för tjuvlyssnare att samla information för att förvärva den ursprungliga klartexten i protokollet. Denna uppdatering av nginx deaktiverar SSL-komprimering.För den stabila utgåvan (squeeze), har detta problem rättats i version 0.7.67-3+squeeze3.
För uttestningsutgåvan (wheezy) och den instabila utgåvan (sid), har detta problem rättats i version 1.1.16-1.
Vi rekommenderar att ni uppgraderar era nginx-paket.