Säkerhetsbulletin från Debian

DSA-2627-1 nginx -- informationsläckage

Rapporterat den:
2013-02-17
Berörda paket:
nginx
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 700426.
I Mitres CVE-förteckning: CVE-2012-4929.
Ytterligare information:

Juliano Rizzo och Thai Duong hittade en svaghet i TLS/SSL-protokollen vid användning av komprimering. Detta sidkanalsangrepp, kallat CRIME, gjorde det möjligt för tjuvlyssnare att samla information för att förvärva den ursprungliga klartexten i protokollet. Denna uppdatering av nginx deaktiverar SSL-komprimering.

För den stabila utgåvan (squeeze), har detta problem rättats i version 0.7.67-3+squeeze3.

För uttestningsutgåvan (wheezy) och den instabila utgåvan (sid), har detta problem rättats i version 1.1.16-1.

Vi rekommenderar att ni uppgraderar era nginx-paket.